Check_MK 1.2.4 < 1.2.4p4 / 1.2.5 < 1.2.5i4 多个漏洞
high Nessus 插件 ID 101087
语言:
简介
远程主机上运行的 IT 监控应用程序受到多个漏洞的影响。描述
远程 Web 服务器上运行的 Check_MK 版本为低于 1.2.4p4 的 1.2.4 或低于 1.2.5i4 的 1.2.5。因此,该服务器受到多个漏洞的影响:- multisite 组件中存在多个跨站脚本 (XSS) 漏洞,尤其是在 htmllib.py 文件内的 render_status_icons() 函数和 actions.py 文件内的 ajax_action() 函数中,这是未能正确验证用户提供的输入便将其返回给用户所致。未经身份验证的远程攻击者可利用这些问题,通过特别构建的请求,在用户浏览器会话中执行任意脚本代码。(CVE-2014-5338)
- 存在有关行选择的缺陷,其允许经过身份验证的远程攻击者将 Check_MK 配置 (.mk) 文件写入任意位置。
(CVE-2014-5339)
- wato 组件中存在一个缺陷,这是使用不安全的 Python pickel API 调用所致。未经身份验证的远程攻击者可利用此问题,通过特制的序列化对象,执行任意代码。
(CVE-2014-5340)
解决方案
升级版本到 Check_MK 1.2.4p4 / 1.2.5i4 或更高版本。另见
https://www.securityfocus.com/archive/1/archive/1/533180/100/0/threaded
插件详情
严重性: High
ID: 101087
文件名: check_mk_1_2_5_i4.nasl
版本: 2.5
类型: remote
系列: CGI abuses
发布时间: 2017/6/28
最近更新时间: 2018/11/28
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 6.9
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:check_mk_project:check_mk
易利用性: No known exploits are available
补丁发布日期: 2014/8/20
漏洞发布日期: 2014/5/27