EMC Cloud Tiering Appliance XML 外部實體 (XXE) 任意檔案洩漏
high Nessus Plugin ID 73373
語系:
概要
遠端 EMC CTA 安裝受到一個任意檔案洩漏弱點影響。說明
遠端 EMC Cloud Tiering Appliance (CTA) 安裝受到一個任意檔案洩漏弱點影響。利用傳送至遠端主機上 REST 服務的特製 XML 資料中 XML 外部實體插入,可檢視系統上的任何檔案。請注意,儘管 Nessus 尚未測試是否有其他弱點,但受到此弱點影響的主機可能也會受到其他弱點影響。
解決方案
依照供應商公告中所述,套用 ESA-2014-028 的 Hot Fix。另請參閱
https://seclists.org/fulldisclosure/2014/Mar/426
https://seclists.org/bugtraq/2014/Apr/att-93/ESA-2014-028.txt
Plugin 詳細資訊
嚴重性: High
ID: 73373
檔案名稱: emc_cta_xxe.nasl
版本: 1.11
類型: remote
系列: CGI abuses
已發布: 2014/4/7
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: High
基本分數: 7.8
時間分數: 6.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 評分資料來源: CVE-2014-0644
弱點資訊
CPE: cpe:/h:emc:cloud_tiering_appliance, cpe:/a:emc:cloud_tiering_appliance_virtual_edition
必要的 KB 項目: www/emc_cta_ui
可被惡意程式利用: true
可輕鬆利用: Exploits are available
由 Nessus 利用: true
弱點發布日期: 2014/3/31
參考資訊
CVE: CVE-2014-0644
BID: 66547