MySQL 认证协议标记比较转换失败密码绕过
medium Nessus 插件 ID 61393
语言:
简介
没有有效的密码也可访问远程数据库服务器。描述
MySQL 服务器中的缺陷允许远程用户没有有效密码即可认证,造成此缺陷的原因是转换随机生成的标记并将其与预期值比较时失败。解决方案
升级到 MySQL 5.1.63 / 5.5.24 或更高版本。另见
插件详情
严重性: Medium
ID: 61393
文件名: mysql_auth_bypass.nasl
版本: 1.13
类型: remote
系列: Databases
发布时间: 2012/8/2
最近更新时间: 2019/3/27
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.9
CVSS v2
风险因素: Medium
基本分数: 5.1
时间分数: 4.2
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2012-2122
CVSS v3
风险因素: Medium
基本分数: 5.6
时间分数: 5.2
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/a:mysql:mysql, cpe:/a:oracle:mysql
排除的 KB 项: global_settings/supplied_logins_only
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
补丁发布日期: 2012/5/7
漏洞发布日期: 2012/5/7
可利用的方式
CANVAS (CANVAS)
参考资料信息
CVE: CVE-2012-2122
BID: 53911