Tenable SecurityCenter < 5.0.1 多個 RCE (TNS-2015-10)
high Nessus Plugin ID 85183
語系:
概要
遠端主機包含受到多個遠端程式碼執行弱點影響的應用程式。說明
根據其版本,遠端主機上安裝的 Tenable SecurityCenter 受到多個遠端程式碼執行弱點影響:- 存在因上傳函式期間不當清理使用者提供之檔案所致的瑕疵。經驗證的遠端攻擊者可惡意利用此瑕疵,透過上傳另一個使用者的儀表板,在伺服器處理檔案時執行任意程式碼。
- 存在因上傳函式期間不當清理使用者提供之檔案所致的瑕疵。經驗證的遠端攻擊者可惡意利用此瑕疵,透過上傳具有特製封存檔案名稱的自訂外掛程式,在伺服器處理檔案時執行任意程式碼。
- 存在因上傳函式期間不當清理使用者提供之檔案所致的瑕疵。經驗證的遠端攻擊者可惡意利用此瑕疵,透過上傳具有特製封存檔案名稱的自訂被動式外掛程式,在伺服器處理檔案時執行任意程式碼。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 Tenable SecurityCenter 4.6.2.2 / 4.7.1 / 4.8.2 版,並套用供應商公告中提及的適當修補程式。或者,升級至 5.0.1 或更新版本。
另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 85183
檔案名稱: securitycenter_4_6_2_2_multiple_rce.nasl
版本: 1.20
類型: combined
代理程式: unix
系列: Misc.
已發布: 2015/8/3
已更新: 2023/11/27
支援的感應器: Nessus Agent, Nessus
風險資訊
CVSS 評分論據: Score based on analysis of the vendor advisory.
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9
時間分數: 6.7
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: manual
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:tenable:securitycenter
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/7/24
弱點發布日期: 2015/7/24
參考資訊
CVE: CVE-2015-4149, CVE-2015-4150