Trend Micro Threat Intelligence Manager sampleReporting.php ‘fakename’ 參數檔案洩漏

high Nessus Plugin ID 84917

語系：

概要

遠端 Windows 主機上執行的一個應用程式受到檔案洩漏弱點影響。

說明

遠端 Windows 主機上執行的 Trend Micro Threat Intelligence Manager 受到一個檔案洩漏弱點影響，是因無法正確清理使用者向 sampleReporting.php 指令碼中 ‘fakename’ 參數提供的輸入所導致。未經驗證的遠端攻擊者可惡意利用此弱點，藉由特製要求來檢視任意檔案。

請注意，據報該應用程式受到一個本機檔案洩漏弱點和一個遠端程式碼執行弱點影響，
不過，Nessus 並未測試這個問題。

解決方案

套用 Threat Intelligence Manager 1.0 Patch 5 或更新版本。

另請參閱

https://blogs.securiteam.com/index.php/archives/2502

https://success.trendmicro.com/solution/1103000

Plugin 詳細資訊

嚴重性: High

ID: 84917

檔案名稱: trendmicro_tim_fakename_file_disclosure.nasl

版本: 1.5

類型: remote

系列: CGI abuses

已發布: 2015/7/22

已更新: 2021/1/19

支援的感應器: Nessus

弱點資訊

CPE: x-cpe:/a:trend_micro:threat_intelligence_manager

必要的 KB 項目: installed_sw/Trend Micro Threat Intelligence Manager

可輕鬆利用: No exploit is required

修補程式發佈日期: 2014/4/10

弱點發布日期: 2015/7/13

參考資訊

CVE: CVE-2014-2204