Flexera InstallShield 未受信任的搜尋路徑弱點
high Nessus Plugin ID 89692
語系:
概要
遠端 Windows 主機上安裝的應用程式受到一個未受信任的搜尋路徑弱點影響。說明
遠端主機上安裝的 Flexera InstallShield 應用程式缺少一個供應商提供的 hotfix。因此受到一個未受信任的搜尋路徑弱點影響,這是因為在目前的工作目錄中尋找可能不受信任或受到使用者控制的特定檔案或程式庫所致。遠端攻擊者可惡意利用此弱點,使用特製的 DLL,誘騙使用者開啟檔案 (例如位於遠端 WebDAV 共用上),進而導致插入及執行任意程式碼。解決方案
套用供應商提供的 Hotfix IOJ-1745445。請注意,這可能需要升級至 InstallShield 2015 SP1。此外,供應商還建議 InstallShield 客戶在使用自訂動作時遵循 Windows 最佳作法,因為 hotfix 不適用於自訂動作。另請參閱
http://www.nessus.org/u?1d6580b3
http://www.nessus.org/u?1f913224
http://www.nessus.org/u?e3269c83
Plugin 詳細資訊
嚴重性: High
ID: 89692
檔案名稱: flexera_installshield_cve-2016-2542.nasl
版本: 1.11
類型: local
系列: CGI abuses
已發布: 2016/3/6
已更新: 2024/4/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.2
時間分數: 5.3
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2016-2542
CVSS v3
風險因素: High
基本分數: 7.8
時間分數: 6.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:flexerasoftware:installshield
必要的 KB 項目: installed_sw/Flexera InstallShield
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/1/25
弱點發布日期: 2016/1/21
參考資訊
CVE: CVE-2016-2542
BID: 83334
IAVB: 2016-B-0040-S