Tenable SecurityCenter 5.2.x / 5.3.x < 5.3.1 多个漏洞 (TNS-2016-07)
medium Nessus 插件 ID 90429
语言:
简介
安装在远程主机上的应用程序受到多种漏洞的影响。描述
根据其版本,远程主机上安装的 Tenable SecurityCenter 应用程序是 5.2.x 或低于 5.3.1 的 5.3.x。因此,它受到多种漏洞的影响:- 存在多个跨站脚本 (XSS) 漏洞,原因是输入在被返回给用户前未能验证。远程攻击者可利用这些漏洞,通过构建的请求,在用户浏览器会话中执行任意脚本代码。
(CVE-2016-82008、CVE-2016-82009、CVE-2016-82010)
- 存在一个不明缺陷,允许经认证的远程攻击者泄露应用程序的安装路径。(CVE-2016-82011)
- 由于无法针对认证 cookie 使用 HTTPOnly 或 Secure 属性,Apache Felix 中存在一个缺陷。未经认证的远程攻击者可利用此缺陷,更轻易地泄露敏感信息。
(VulnDB 136592)
请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。
解决方案
升级到 Tenable SecurityCenter 5.3.1 或更高版本。另见
插件详情
严重性: Medium
ID: 90429
文件名: securitycenter_5_3_1_xss.nasl
版本: 1.14
类型: combined
代理: unix
系列: Misc.
发布时间: 2016/4/12
最近更新时间: 2020/10/9
支持的传感器: Nessus Agent, Nessus
风险信息
CVSS 分数理由: Score based on analysis of the vendor advisory.
VPR
风险因素: Low
分数: 3.0
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: manual
CVSS v3
风险因素: Medium
基本分数: 4.7
时间分数: 4.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:tenable:securitycenter
易利用性: No known exploits are available
补丁发布日期: 2016/4/1
漏洞发布日期: 2016/4/1
参考资料信息
CVE: CVE-2016-82008, CVE-2016-82009, CVE-2016-82010, CVE-2016-82011