ManageEngine ServiceDesk Plus 8.0.0 < Build 8015 多個 XSS 弱點
medium Nessus Plugin ID 57371
語系:
概要
遠端 web 伺服器主控了可能受到數個跨網站指令碼弱點影響的應用程式。說明
遠端主機包含 ManageEngine ServiceDesk Plus build 8015 之前的 8.0.0 版本。因此可能受到多個跨網站指令碼弱點的影響。下列頁面無法正確清理對於下列指令碼與參數的輸入:- 頁面:'AddSolution.do' 參數:'comments' 與 'keywords'
- 頁面:'AnnounceShow.do' 參數:'select'
- 頁面:'AddNewProblem.cc'、'ChangeDetails.cc' 與 'Problems.cc' 參數:'reqName'
- 頁面:'calendar/MiniCalendar.jsp' 參數:'module'
- 頁面:'HomePage.do' 與 'jsp/ServiceCatalog.jsp' 參數:'serviceID'
- 頁面:'WorkOrder.do' 參數:'attach'、'category'、'description'、'level'、'reqName' 與 'title'。
解決方案
升級至 ManageEngine ServiceDesk Plus 8.0.0 build 8015 版或更新版本。另請參閱
https://seclists.org/fulldisclosure/2011/Aug/221
https://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-5039.php
Plugin 詳細資訊
嚴重性: Medium
ID: 57371
檔案名稱: manageengine_servicedesk_8_0_0_build15.nasl
版本: 1.11
類型: remote
系列: CGI abuses : XSS
已發布: 2011/12/22
已更新: 2021/10/27
支援的感應器: Nessus
風險資訊
CVSS 評分論據: Score based on analysis of the vendor advisory.
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.6
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: manual
CVSS v3
風險因素: Medium
基本分數: 6.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
弱點資訊
CPE: cpe:/a:manageengine:servicedesk_plus
必要的 KB 項目: www/manageengine_servicedesk
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2011/8/16
弱點發布日期: 2011/8/23
參考資訊
BID: 49291