NetIQ Privileged User Manager 密碼變更驗證繞過 (版本檢查)

medium Nessus Plugin ID 63186

語系：

概要

遠端主機上執行的 web 應用程式受到一個驗證繞過弱點影響。

說明

根據 NetIQ Privileged User Manager 'auth' 套件自我報告的版本，NetIQ Privileged User Manager web 應用程式的 'admin' 使用者密碼可透過特製的 POST 要求加以修改，無需進行驗證。

請注意，Nessus 尚未檢查是否有因應措施。

解決方案

套用 NetIQ Privileged User Manager 2.3.1 HF2 (2.3.1-2) 或更新版本。

另請參閱

https://support.microfocus.com/kb/doc.php?id=7011385

http://retrogod.altervista.org/9sg_novell_netiq_i_adv.htm

Plugin 詳細資訊

嚴重性: Medium

ID: 63186

檔案名稱: netiq_pum_passwd_change1.nasl

版本: 1.11

類型: remote

系列: CGI abuses

已發布: 2012/12/7

已更新: 2021/1/19

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 6.4

時間分數: 5.3

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P

CVSS 評分資料來源: CVE-2012-5930

弱點資訊

CPE: cpe:/a:netiq:privileged_user_manager

必要的 KB 項目: www/netiq_pum

排除在外的 KB 項目: Settings/disable_cgi_scanning

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/11/20

弱點發布日期: 2012/11/15

可惡意利用

Elliot (Novell NetIQ 2.3.1 RCE)

參考資訊

CVE: CVE-2012-5930

BID: 56535