Scrutinizer < 10.1.2 多個弱點
high Nessus Plugin ID 65046
語系:
概要
遠端主機正在執行受到多個弱點影響的 Web 應用程式。說明
遠端主機上執行的 Scrutinizer NetFlow and sFlow Analyzer 版本比 10.1.2 舊,因此可能受到下列弱點影響:- 存在一個盲目式 SQL 插入弱點,這是因為 'fa_Web.cgi' 的 'orderby' 和 'gadget' 參數無法正確清理使用者提供的輸入所導致。這可能會允許攻擊者在後端資料庫中插入或操控 SQL 查詢。
- 應用程式受到下列參數/模組中的多個持續跨網站指令碼弱點影響:
- 'BBSearchText' - New Board & Policy Manager
-'Mytab'-Flow Expert
- 'newName' - MyView (CGI)
- 'groupName' - New Users & New Group
- 'username' - New Users & New Group
- 'groupMembers' - Mapping /Maps (CGI)
- 'Type' - Mapping /Maps (CGI)
- 'Checkbox Linklike' - Mapping /Maps (CGI)
- 'indexColumn' - Mapping /Maps (CGI)
- 'Type' - Mapping /Maps (CGI)
- 'Object Name' - Mapping /Maps (CGI)
- 'settings groups(checkbox)' - Mapping /Maps (CGI)
- 'Policy Name' - Advanced Filters
- 'Board Name' - Advanced Filters
- 'Violators' - Advanced Filters
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 Scrutinizer 10.1.2 或更新版本。另請參閱
https://seclists.org/bugtraq/2013/Feb/57
Plugin 詳細資訊
嚴重性: High
ID: 65046
檔案名稱: scrutinizer_10_1_2.nasl
版本: 1.7
類型: remote
系列: CGI abuses
已發布: 2013/3/6
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 6.2
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: cpe:/a:dell:sonicwall_scrutinizer
必要的 KB 項目: www/scrutinizer_netflow_sflow_analyzer
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/2/10
弱點發布日期: 2013/2/11