MobileIron Core 10.3.0.x < 10.3.0.4-19 / 10.4.0.x < 10.4.0.4-22 / 10.5.1.1 < 10.5.1.1-22 / 10.5.2.1 < 10.5.2.1-14 / 10.6.0.1 < 10.6.0.1-19 / 10.7.0.0 < 10.7.0.0-28
critical Nessus 插件 ID 141366
语言:
简介
远程 Web 服务器上运行的 MobileIron 应用程序受到多个漏洞的影响。描述
根据其自我报告的版本号,远程主机上安装的 MobileIron Core 受到多个漏洞的影响:- MobileIron Core 和 Connector 10.6 及其之前版本以及 Sentry 9.8 及其之前版本中存在远程命令执行漏洞。未经身份验证的远程攻击者可利用此问题,绕过身份验证并以根权限执行任意命令 (CVE-2020-15505)。
- MobileIron Core 和 Connector 10.6 及其之前版本中存在任意文件读取漏洞。未经身份验证的远程攻击者可利用此问题,读取任意文件并泄露敏感信息。(CVE-2020-15507)
- MobileIron Core 和 Connector 10.6 及其之前版本中存在身份验证绕过漏洞。未经身份验证的远程攻击者可利用此问题,绕过身份验证并以升级的权限执行任意操作。(CVE-2020-15506) 请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本
解决方案
升级至 MobileIron 10.3.0.4-19、10.4.0.4-22、10.5.1.1-22、10.5.2.1-14、10.6.0.1-19、10.7.0.0-28 或更高版本。另见
插件详情
严重性: Critical
ID: 141366
文件名: mobileiron_10_3_0_4_19.nasl
版本: 1.9
类型: remote
系列: CGI abuses
发布时间: 2020/10/12
最近更新时间: 2022/12/5
配置: 启用彻底检查
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P
时间矢量: E:H/RL:OF/RC:C
CVSS 分数来源: CVE-2020-15506
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: E:H/RL:O/RC:C
漏洞信息
CPE: cpe:/a:mobileiron:mobileiron_core
必需的 KB 项: installed_sw/MobileIron Core
可利用: true
易利用性: Exploits are available
补丁发布日期: 2020/6/15
漏洞发布日期: 2020/6/11
CISA 已知利用日期: 2022/5/3
可利用的方式
Metasploit (MobileIron MDM Hessian-Based Java Deserialization RCE)
参考资料信息
CVE: CVE-2020-15505, CVE-2020-15506, CVE-2020-15507
IAVA: 2020-A-0424
CEA-ID: CEA-2020-0129