Trend Micro Control Manager GetPassword() SQLi
high Nessus 插件 ID 110766
语言:
简介
远程主机上运行的 Web 应用程序受到 SQLi 漏洞的影响。描述
由于在以用户提供的字符串构建 SQL 查询前缺少对字符串的正确验证,远程主机上运行的 Trend Micro Control Manager 在处理 HTTP 请求时,受到 SQLi 漏洞的影响。未经身份验证的远程攻击者通过特制 HTTP 请求可利用此问题以在网络服务账户环境下执行代码。请注意,据报告 Trend Micro Control Manager 还受到其他漏洞的影响,但是此插件尚未对此进行测试。解决方案
升级到 Trend Micro Control Manager 6.0 build 3748 / 7.0 或更高版本。请注意,6.0 build 3748 版本需要 6.0 SP3 Patch 3 版本作为前提条件。另见
插件详情
严重性: High
ID: 110766
文件名: trendmicro_control_manager_cve-2018-3064.nasl
版本: 1.4
类型: remote
系列: CGI abuses
发布时间: 2018/6/28
最近更新时间: 2020/4/27
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2018-3604
CVSS v3
风险因素: High
基本分数: 7.3
时间分数: 6.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:trend_micro:control_manager
必需的 KB 项: installed_sw/Trend Micro Control Manager
易利用性: No known exploits are available
补丁发布日期: 2018/1/9
漏洞发布日期: 2018/1/9
参考资料信息
CVE: CVE-2018-3604
ZDI: ZDI-18-067