SAP BusinessObjects Business Intelligence Platform(Central Management Console 和 BI Launchpad) 不安全的反序列化

high Nessus 插件 ID 168363

简介

远程 Windows 主机上安装的 SAP BusinessObjects Business Intelligence Platform 受到不安全序列化漏洞的影响

描述

远程 Windows 主机上安装的 SAP BusinessObjects Business Intelligence Platform 版本低于 4.2 SP9 P11、4.3 SP2 P7 或 4.3 SP3。因此,它受到不安全的反序列化漏洞影响。在 SAP BusinessObjects BI Platform 的部分工作流(Central Management Console 和 BI LaunchPad)中,经身份验证的低权限攻击者可拦截参数中经序列化的对象,并用恶意的序列化后对象替换,从而导致程序对不可信的数据执行反序列化。这可以严重破坏系统的机密性、完整性和可用性。

请注意,Nessus 并未试图利用这些问题,而是仅依据应用程序自我报告的版本号来判断。

解决方案

参见供应商公告。

另见

https://launchpad.support.sap.com/#/notes/3243924

插件详情

严重性: High

ID: 168363

文件名: sap_business_objects_bip_nov_22_3243924.nasl

版本: 1.3

类型: local

代理: windows

系列: Windows

发布时间: 2022/12/2

最近更新时间: 2023/1/13

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2022-41203

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:sap:businessobjects_business_intelligence_platform

必需的 KB 项: installed_sw/SAP BusinessObjects Business Intelligence Platform, SMB/Registry/Enumerated

易利用性: No known exploits are available

补丁发布日期: 2022/11/8

漏洞发布日期: 2022/11/8

参考资料信息

CVE: CVE-2022-41203

IAVA: 2023-A-0018