HP LaserJet PJL 介面目錄遊走 (HPSBPI02575)

high Nessus Plugin ID 69480

Synopsis

遠端主機受到一個遊走弱點影響。

描述

遠端主機的 PJL 介面無法在使用前清理「fsdirlist」命令中「name」參數的輸入。

攻擊者可利用此問題,使用目錄遊走序列,在 PJL 服務內容中受影響的主機上檢視任意檔案。挖掘出的資訊可能會助長後續攻擊。

解決方案

透過 PJL 介面設定 PJL 密碼或停用檔案系統存取權。

另請參閱

http://www.nessus.org/u?75a7707f

http://www.nessus.org/u?bf0008ef

Plugin 詳細資訊

嚴重性: High

ID: 69480

檔案名稱: hp_laserjet_hpsbpi02575_directory_traversal.nasl

版本: 1.17

類型: remote

系列: General

已發布: 2013/8/20

已更新: 2022/4/11

組態: 啟用徹底檢查

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 6.3

媒介: AV:N/AC:L/Au:N/C:C/I:N/A:N

時間媒介: E:POC/RL:TF/RC:C

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: E:P/RL:T/RC:C

弱點資訊

CPE: cpe:/h:hp:laserjet

可被惡意程式利用: true

可輕鬆利用: Exploits are available

由 Nessus 利用: true

弱點發布日期: 2010/11/15

參考資訊

CVE: CVE-2010-4107

BID: 44882

EDB-ID: 15631, 32990

IAVB: 2011-B-0001