HP SAN/iQ <= 10.0 根 Shell 命令注入
high Nessus 插件 ID 61612
语言:
简介
远程主机上的一个管理服务存在命令注入漏洞。描述
远程主机上运行的 SAN/iQ 版本存在命令注入漏洞。hydra 服务(用于远程管理和配置)未正确审查不受信任的输入。远程攻击者可利用此漏洞以根用户身份执行任意代码。需要认证,但是可以使用默认的硬编码凭据轻松绕过认证。解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 61612
文件名: hp_saniq_hydra_cmd_injection2.nasl
版本: 1.17
类型: remote
发布时间: 2012/8/21
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.7
时间分数: 6.9
矢量: CVSS2#AV:A/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2012-2986
漏洞信息
排除的 KB 项: global_settings/supplied_logins_only
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2012/8/17
可利用的方式
Metasploit (HP StorageWorks P4000 Virtual SAN Appliance Command Execution)
参考资料信息
CVE: CVE-2012-2986
BID: 55133
CERT: 441363
TRA: TRA-2011-12