Beanstalkd < 1.4.6 远程 Beanstalkd 命令注入

high Nessus 插件 ID 46884

简介

远程主机有一个可能允许通过一组受限的命令修改数据的应用程序。

描述

安装的 Beanstalkd 版本允许注入 Beanstalk 命令。恶意生产者进程或客户端可利用此问题,通过“PUT”命令注入任意 beanstalkd 命令,来查看现有工作的状态或从 Beanstalkd 队列删除工作,而无需消费者进程或客户端的合作。

解决方案

升级到 1.4.6 或更高版本。

另见

http://kr.github.io/beanstalkd/2010/05/23/1.4.6-release-notes.html

https://bugs.gentoo.org/show_bug.cgi?id=322457

插件详情

严重性: High

ID: 46884

文件名: beanstalkd_remote_beanstalk_cmd_inject.nasl

版本: 1.10

类型: remote

系列: Misc.

发布时间: 2010/6/14

最近更新时间: 2018/11/15

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

漏洞信息

易利用性: No known exploits are available

被 Nessus 利用: true

补丁发布日期: 2010/5/23

漏洞发布日期: 2010/5/23

参考资料信息

CVE: CVE-2010-2060

BID: 40516

Secunia: 40032