Novell ZENworks Asset Management rtrlet 组件 GetFile_Password 方法硬编码凭据信息泄露
high Nessus 插件 ID 62704
语言:
简介
远程主机包含一个任意信息泄露漏洞。描述
远程主机包含受到一个任意信息泄露漏洞影响的 Novell ZENworks Asset Management 版本。“/rtrlet/rtr'”中的“GetFile_Password”维护调用受到一组已知硬编码凭据的保护。攻击者可利用此维护调用通过特别构建的 POST 请求将能够以 SYSTEM 权限访问的任意文件披露给远程主机。尽管 Nessus 未尝试执行此操作,在此 Novell ZENworks Asset Management 版本中相关的维护调用“GetConfigInfo_Password”也受到一组硬编码凭据的保护。它可允许远程攻击者查看 Novell ZENworks Configuration Management 配置参数。
解决方案
目前尚未有任何已知的解决方案。变通方案是限制访问此 Web 应用程序。插件详情
严重性: High
ID: 62704
文件名: novell_zenworks_asset_management_arbitrary_information_disclosure.nasl
版本: 1.9
类型: remote
系列: CGI abuses
发布时间: 2012/10/25
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.0
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
漏洞信息
CPE: cpe:/a:novell:zenworks_asset_management
必需的 KB 项: www/novell_zenworks_asset_management
排除的 KB 项: Settings/disable_cgi_scanning
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
漏洞发布日期: 2012/10/15
参考资料信息
CVE: CVE-2012-4933
BID: 55933
CERT: 332412