ManageEngine AssetExplorer 多個弱點
medium Nessus Plugin ID 86885
語系:
概要
遠端 Web 伺服器受到多個弱點影響。說明
遠端 Web 伺服器上執行的 ManageEngine AssetExplorer 版本受到多個弱點影響:- 存有一個因 web.xml 組態設定錯誤而造成的安全性繞過弱點,這會讓使用者直接存取 URL /workorder/FileDownload.jsp,而無須經過任何驗證。
- 用於處理 URL /workorder/FileDownload.jsp 的 servlet 存有一個路徑遊走弱點,這是因為不當清理 'fName' 參數中的輸入所導致。
因此,未經驗證的遠端攻擊者可惡意利用這些問題,並利用目錄遊走序列,在需要操作權限的 Web 伺服器中,擷取任意檔案。
解決方案
升級至 ManageEngine AssetExplorer 6.1 Build 6113 或更新版本。另請參閱
https://www.manageengine.com/products/asset-explorer/sp-readme.html
Plugin 詳細資訊
嚴重性: Medium
ID: 86885
檔案名稱: manageengine_assetexplorer_fName_traversal.nasl
版本: 1.6
類型: remote
系列: CGI abuses
已發布: 2015/11/16
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
CPE: cpe:/a:zoho:manageengine_assetexplorer
必要的 KB 項目: installed_sw/ManageEngine AssetExplorer
排除在外的 KB 項目: Settings/disable_cgi_scanning
由 Nessus 利用: true
修補程式發佈日期: 2015/9/23
弱點發布日期: 2015/9/23