检测

EMC Documentum D2 4.5.x and 4.6.x < 4.7 Multiple Vulnerabilities (ESA-2016-167)

medium Nessus 插件 ID 96961

语言:

简介

远程主机受到多个漏洞影响。

描述

远程主机正在运行的 EMC Documentum D2 版本为低于 4.7 的 4.5.x 或 4.6.x。因而会受到多个漏洞的影响:- 由于没有正确验证用户提供的输入,因而存在跨站脚本 (XSS) 漏洞。未经身份验证的远程攻击者可利用此问题,通过特制的请求,在用户浏览器会话中执行任意脚本代码。(CVE-2016-9872) - 由于未正确审核用户提供的输入,存在 Document Query Language (DQL) 注入漏洞。经身份验证的远程攻击者可利用此问题,在后端数据库中注入或操纵 DQL 查询,进而导致操纵或泄露任意数据。(CVE-2016-9873)

解决方案

升级到 EMC Documentum D2 版本 4.7 或更高版本。或者,请注意 EMC 已发布 4.5.0200 (4.5 patch 20) 和 4.6.0080 (4.6 patch 08) 来解决 CVE-2016-9872。

另见

https://seclists.org/bugtraq/2017/Jan/att-80/ESA-2016-167.txt

插件详情

严重性: Medium

ID: 96961

文件名: emc_documentum_d2_ESA-2016-167.nasl

版本: 1.6

类型: remote

系列: Misc.

发布时间: 2017/2/2

最近更新时间: 2019/11/13

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.4

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 4.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2016-9873

CVSS v3

风险因素: Medium

基本分数: 6.3

时间分数: 5.5

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:emc:documentum_d2

必需的 KB 项: installed_sw/EMC Documentum D2

易利用性: No known exploits are available

补丁发布日期: 2017/1/26

漏洞发布日期: 2017/1/26

参考资料信息

CVE: CVE-2016-9872, CVE-2016-9873

BID: 95824, 95828

IAVB: 2017-B-0014