ManageEngine ServiceDesk Plus 9.1.0 < Build 9103 多個弱點
high Nessus Plugin ID 85599
語系:
概要
遠端 Web 伺服器主控的應用程式受到多個弱點影響。說明
遠端主機正在執行 ManageEngine ServiceDesk Plus build 9103 之前的 9.1.0 版本。因此,該應用程式受到多個弱點影響:- 存在一個跨網站指令碼弱點,是因不當驗證「登入」頁面中使用者提供的輸入所導致。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 存在一個跨網站指令碼弱點,是因在新增軟體授權類型或選項時不當驗證使用者提供的輸入所導致。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 軟體詳細資訊頁面上檔案附件 URL 中存在一個不明瑕疵。
- 存在一個跨網站指令碼弱點,是因透過電子郵件傳送報告時不當驗證使用者提供的輸入所導致。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 存在一個跨網站指令碼弱點,是因完成「新增工作」動作時不當驗證使用者向 'module' 和 'from' 參數提供的輸入所致。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 存在一個跨網站指令碼弱點,是因不當驗證使用者向 'Solution' 模組中的 'UNIQUE_ID' 參數提供的輸入所致。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 存在一個跨網站指令碼弱點,是因不當驗證使用者向電子郵件通知視窗提供的輸入所導致。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 存在一個跨網站指令碼弱點,是因不當驗證使用者向要求範本、提醒和技術人員行事曆提供的輸入所致。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 存在一個因不明瑕疵而導致的安全性繞過弱點。經驗證的遠端攻擊者可惡意利用此瑕疵更新事件詳細資訊。
- 存在一個因不明瑕疵而導致的安全性繞過弱點。經驗證的遠端攻擊者可惡意利用此瑕疵存取問題和變更詳細資訊。
- 存有一個因不當驗證使用者提供之輸入而引起的跨網站指令碼弱點。遠端攻擊者可加以惡意利用,透過特製的要求來執行任意指令碼。
- 存在一個 SQL 插入弱點,是因在 SQL 查詢中使用使用者提供的輸入之前不當清理該輸入所致。遠端攻擊者可惡意利用此弱點來插入或操控 SQL 查詢,進而導致操控或洩漏任意資料。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 ManageEngine ServiceDesk Plus 9.1.0 build 9103 版或更新版本。另請參閱
https://www.manageengine.com/products/service-desk/readme.html#readme91
Plugin 詳細資訊
嚴重性: High
ID: 85599
檔案名稱: manageengine_servicedesk_9_1_build9103.nasl
版本: 1.12
類型: remote
系列: CGI abuses
已發布: 2015/8/24
已更新: 2021/10/27
支援的感應器: Nessus
風險資訊
CVSS 評分論據: Score based on analysis of the vendor advisory.
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: manual
CVSS v3
風險因素: High
基本分數: 7.3
時間分數: 6.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:manageengine:servicedesk_plus
必要的 KB 項目: installed_sw/manageengine_servicedesk
修補程式發佈日期: 2015/7/23
弱點發布日期: 2015/7/23