Trend Micro Control Manager cgiShowClientAdm 安全性繞過

high Nessus Plugin ID 99730

語言:

概要

遠端主機上執行的 CGI 應用程式受到一個安全性繞過弱點影響。

說明

遠端主機上執行的 Trend Micro Control Manager 版本受到處理對 cgiShowClientAdm() Web 函式的呼叫時的一個安全性繞過弱點影響，這是因為無法為公開、修改或刪除與篩選有關的 DLP 範本提供功能驗證所致。未經驗證的遠端攻擊者可惡意利用此問題，修改基礎產品的安全性態勢。

請注意，此外掛程式會嘗試下載 DLP 範本。此外，據報 Trend Micro Control Manager 也受到其他弱點影響；但 Nessus 尚未針對這些弱點進行測試。

解決方案

升級至 Trend Micro Control Manager 6 版 build 3506。

請注意，6.0 版 build 3506 需要 6.0 版 SP3 Patch 2 做為先決條件。

另請參閱

https://success.trendmicro.com/solution/1116863

https://www.zerodayinitiative.com/advisories/ZDI-17-244/

Plugin 詳細資訊

嚴重性: High

ID: 99730

檔案名稱: trendmicro_control_manager_zdi-17-244.nasl

版本: 1.6

類型: Remote

系列: CGI abuses

已發布: 2017/4/28

已更新: 2026/4/22

支援的感應器: Nessus

風險資訊

CVSS 評分論據: Tenable score for security bypass.

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: manual

CVSS v3

風險因素: High

基本分數: 7.3

時間性分數: 6.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:trend_micro:control_manager

必要的 KB 項目: installed_sw/Trend Micro Control Manager

由 Nessus 利用: true

修補程式發佈日期: 2017/3/21

弱點發布日期: 2017/4/5

參考資訊

BID: 97541

ZDI: ZDI-17-244