EMC Cloud Tiering Appliance XML 外部实体 (XXE) 任意文件泄露
high Nessus 插件 ID 73373
语言:
简介
远程 EMC CTA 安装受到任意文件泄露漏洞的影响。描述
远程 EMC Cloud Tiering Appliance (CTA) 安装受到任意文件泄露漏洞的影响。可以通过在发送到远程主机上的 REST 服务的、特别构建的 XML 数据中注入 XML 外部实体,查看系统中的任何文件。请注意,受此漏洞影响的主机可能也受到其他漏洞的影响,但 Nessus 未针对任何其他漏洞进行测试。
解决方案
请根据供应商公告应用 ESA-2014-028 的热修复。另见
https://seclists.org/fulldisclosure/2014/Mar/426
https://seclists.org/bugtraq/2014/Apr/att-93/ESA-2014-028.txt
插件详情
严重性: High
ID: 73373
文件名: emc_cta_xxe.nasl
版本: 1.11
类型: remote
系列: CGI abuses
发布时间: 2014/4/7
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2014-0644
漏洞信息
CPE: cpe:/h:emc:cloud_tiering_appliance, cpe:/a:emc:cloud_tiering_appliance_virtual_edition
必需的 KB 项: www/emc_cta_ui
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
漏洞发布日期: 2014/3/31
参考资料信息
CVE: CVE-2014-0644
BID: 66547