Iomega smbwebclient.php 未经认证的文件系统访问
critical Nessus 插件 ID 45568
语言:
简介
远程 Web 服务器包含允许未经认证访问文件系统的 PHP 脚本。描述
远程主机似乎是 Iomega 设备,可能是 Home Media Network Hard Drive,这是预期用于家庭网络的网络连接存储 (NAS) 设备。其 Web 服务器托管了一个不安全的 smbwebclient 安装,这是一个基于 PHP 的实用工具,可将完整访问权限授予设备本身上的任何可见共享项目,甚至可能将读取或写入访问权限授予设备所连接的本地网络上的可用共享项目。解决方案
升级到固件版本 2.063 或更高版本,据报告此版本解决了该漏洞。另见
https://www.securityfocus.com/archive/1/510715/30/0/threaded
插件详情
严重性: Critical
ID: 45568
文件名: iomega_smbwebclient_access.nasl
版本: 1.12
类型: remote
系列: CGI abuses
发布时间: 2010/4/19
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: Critical
基本分数: 10
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
漏洞信息
必需的 KB 项: www/PHP
排除的 KB 项: Settings/disable_cgi_scanning
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
漏洞发布日期: 2010/4/13
参考资料信息
BID: 39474