检测

HPE Intelligent Management Center 7.2 E0403P06 Multiple Vulnerabilities

critical Nessus 插件 ID 99030

语言:

简介

远程主机上的 HPE Intelligent Management Center 版本受到多种漏洞的影响。

描述

远程主机上运行的 HPE Intelligent Management Center (IMC) 版本为 7.2 E0403P06。因而会受到多个漏洞的影响:- 以 doFilter() 方法处理 URI 时,UrlAccessController 中存在缺陷。远程攻击者可利用此问题,通过特制的请求绕过认证。(CVE-2017-5791) - CommonUtils 中存在一个缺陷,这是因为未正确审查用户提供的输入便在文件操作中使用该输入所导致。经身份验证的远程攻击者可利用此问题,通过使用路径遍历的特制请求上传任意文件,然后再使用该文件执行任意代码。(CVE-2017-5793) - FileUploadServlet 中存在一个缺陷,这是因为未正确审查用户提供的输入便在文件操作中使用该输入所导致。经身份验证的远程攻击者可利用此问题,通过使用路径遍历的特制请求上传任意文件,然后再使用该文件执行任意代码。(CVE-2017-5794) - 在文件操作中使用之前,由于未正确审查用户提供的 'fileName' 参数输入,FileDownloadServlet 中存在缺陷。经身份验证的远程攻击者可利用此问题,通过使用目录遍历的特制请求,泄露任意文件的内容。(CVE-2017-5795)

解决方案

升级到 HPE Intelligent Management Center 7.3 E0504P02 或更高版本。

另见

http://www.nessus.org/u?bca21dc8

http://www.nessus.org/u?d846d714

http://www.nessus.org/u?4cd43fa7

http://www.nessus.org/u?0a25071d

https://www.zerodayinitiative.com/advisories/ZDI-17-161/

https://www.zerodayinitiative.com/advisories/ZDI-17-163/

https://www.zerodayinitiative.com/advisories/ZDI-17-164/

https://www.zerodayinitiative.com/advisories/ZDI-17-165/

插件详情

严重性: Critical

ID: 99030

文件名: hp_imc_73_e0504p02.nasl

版本: 1.6

类型: remote

系列: Misc.

发布时间: 2017/3/28

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2017-5791

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:hp:intelligent_management_center

易利用性: No known exploits are available

补丁发布日期: 2017/3/7

漏洞发布日期: 2017/3/7

参考资料信息

CVE: CVE-2017-5791, CVE-2017-5793, CVE-2017-5794, CVE-2017-5795

BID: 96773, 96815

HP: HPESBHF03714, HPESBHF03715, HPESBHF03716, HPESBHF03717, emr_na-hpesbhf03714en_us, emr_na-hpesbhf03715en_us, emr_na-hpesbhf03716en_us, emr_na-hpesbhf03717en_us

ZDI: ZDI-17-161, ZDI-17-163, ZDI-17-164, ZDI-17-165