Xerox WorkCentre 授權繞過弱點 (XRX10-002)
high Nessus Plugin ID 44944
語系:
概要
遠端多功能裝置允許攻擊者不需授權便取得裝置的存取權。說明
根據其型號和軟體版本,遠端主機是受到兩個授權繞過弱點影響的 Xerox WorkCentre 裝置:- Web 介面據報包含名為「YoUgoT_It.php」的指令碼,其將計算指定資料夾名稱的總和檢查碼,並將允許攻擊者存取受到密碼保護的掃描資料夾。
- Web 介面據報包含多個指令碼,當訪客未登入及執行剩餘指令碼之前,其在發出重新導向至登入頁面的命令後無法呼叫「die()」或「exit()」。它也包含通常在框架組內參照的指令碼,這些指令碼需要認證,即使其本身在直接呼叫時並不需要也是如此。
解決方案
依照上方 Xerox 安全佈告欄所述,套用 P41v7 修補程式。另請參閱
http://www.nessus.org/u?eef14f03
https://www.securityfocus.com/archive/1/509684/30/0/threaded
https://www.xerox.com/downloads/usa/en/c/cert_XRX10-002_v1.0.pdf
Plugin 詳細資訊
嚴重性: High
ID: 44944
檔案名稱: xerox_xrx10-002.nasl
版本: 1.9
類型: remote
系列: Misc.
已發布: 2010/3/1
已更新: 2018/11/15
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 2.7
CVSS v2
風險因素: High
基本分數: 7.8
時間分數: 5.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
弱點資訊
CPE: cpe:/h:xerox:workcentre
必要的 KB 項目: www/xerox_workcentre
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2010/1/22
弱點發布日期: 2010/2/22
參考資訊
CVE: CVE-2010-0548
BID: 37921
CWE: 200