Dell KACE K1000 < 5.5 多种 SQL 注入漏洞
medium Nessus 插件 ID 72392
语言:
简介
系统管理设备的 Web 界面受到多种 SQL 注入漏洞的影响。描述
远程主机上的 Dell KACE K1000 设备的版本的 Web 界面受到多种 SQL 注入漏洞的影响。以下参数和脚本受到影响:-“adminui/history_log.php”的“TYPE_ID”参数。
-“adminui/service.php”、“adminui/software.php”、“adminui/settings_network_scan.php”、“adminui/asset.php”、“adminui/asset_type.php”、“adminui/metering.php”、“adminui/mi.php”、“adminui/replshare.php”、“adminui/kbot.php”、“/userui/advisory_detail.php”和“/userui/ticket.php”的“ID”参数。
-“/service/kbot_service.php”的“macAddress”和“getKBot”参数。
-“/userui/ticket_list.php”的“ORDER[]”参数。
请注意,Nessus 并未测试这些问题,相反,它只依赖于应用程序自我报告的版本号。
解决方案
将 KACE 升级到 5.5 或更高版本。另见
https://www.vulnerability-lab.com/get_content.php?id=832
http://www.nessus.org/u?e29997ea
http://www.kace.com/support/resources/kb/solutiondetail?sol=SOL119257
插件详情
严重性: Medium
ID: 72392
文件名: dell_kace_k1000_5_5_mult_sqli.nasl
版本: 1.5
类型: remote
系列: CGI abuses
发布时间: 2014/2/7
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.5
时间分数: 6.2
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS 分数来源: CVE-2014-1671
漏洞信息
CPE: cpe:/h:dell:kace_k1000_systems_management_appliance
必需的 KB 项: www/dell_kace_k1000
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/8/10
漏洞发布日期: 2013/7/22
参考资料信息
CVE: CVE-2014-1671