ForgeRock Access Management 6.0.0.x / 6.5.0.x / 6.5.2.x / 6.5.3 / 6.5.4 / 7.0.x / 7.1 / 7.1.1 多个漏洞
medium Nessus 插件 ID 173708
语言:
简介
ForgeRock Access Management 受多个漏洞影响。描述
远程主机上检测到的 ForgeRock Access Management 版本受到多个漏洞的影响,其中包括:- 可能通过精心构建的攻击获取部署的某些详细信息。这些数据可能被用于探测内部网络服务。(CVE-2022-24669)
- 攻击者可使用不受限制的 LDAP 查询来确定配置条目 (CVE-2022-24670)
- 可导致会话劫持或网络钓鱼的跨站脚本 (XSS) 漏洞。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 ForgeRock Access Management 6.5.5、7.1.2、7.2 或更高版本,或者应用补丁或变通方案。另见
https://backstage.forgerock.com/knowledge/kb/article/a90639318#3M7t8j
插件详情
严重性: Medium
ID: 173708
文件名: forgerock_openam_7_2.nasl
版本: 1.4
类型: remote
系列: CGI abuses
发布时间: 2023/3/30
最近更新时间: 2025/5/14
支持的传感器: Nessus
Enable CGI Scanning: true
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N
CVSS 分数来源: CVE-2022-24670
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:forgerock:access_management, cpe:/a:forgerock:openam
必需的 KB 项: installed_sw/ForgeRock Access Management
易利用性: No known exploits are available
补丁发布日期: 2022/10/27
漏洞发布日期: 2022/10/27
参考资料信息
CVE: CVE-2022-24669, CVE-2022-24670
IAVA: 2023-A-0159