BeyondTrust 特权远程访问 (PRA) < 25.3.3 多种漏洞 (BT26-03)

critical Nessus 插件 ID 325645

简介

远程 Web 服务器上运行的应用程序受到多个漏洞影响。

描述

远程主机上运行的 BeyondTrust 特权远程访问 (PRA) 版本低于 25.3.3. 因此,该应用程序受到多个漏洞的影响:

- 认证子系统中的一个危急预认证漏洞。身份验证数据验证不当可能会允许网络定位的攻击者绕过访问控制,并获取对设备(包括权限提升的帐户)未经授权的访问权限。(CVE-2026-40138)

- 网络通信子系统中的一个高严重性预认证漏洞。对客户端提供的输入验证不充分可能会允许未经身份验证的远程攻击者触发影响设备可用性的拒绝服务情况。(CVE-2026-40140)

- Web 应用程序组件中与处理某些输入参数有关的高严重性漏洞。对用户提供的输入验证不充分可能允许经过身份验证的攻击者以有限的权限访问其授权范围之外的非预期资源或数据。(CVE-2026-40141)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 BeyondTrust 特权远程访问 (PRA) 版本 25.3.3 或更高版本。

另见

https://www.beyondtrust.com/trust-center/security-advisories/bt26-03

插件详情

严重性: Critical

ID: 325645

文件名: beyondtrust_privileged_remote_access_25_3_3.nasl

版本: 1.2

类型: Remote

系列: CGI abuses

发布时间: 2026/7/8

最近更新时间: 2026/7/9

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.9

百分位: 96.92

CVSS v2

风险因素: High

基本分数: 9

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-40141

CVSS v3

风险因素: Critical

基本分数: 9.9

时间分数: 8.6

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

风险因素: Critical

Base Score: 9.2

Threat Score: 7.2

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2026-40138

漏洞信息

CPE: cpe:/a:beyondtrust:privileged_remote_access

必需的 KB 项: installed_sw/BeyondTrust Privileged Remote Access

易利用性: No known exploits are available

补丁发布日期: 2026/6/21

漏洞发布日期: 2026/6/21

参考资料信息

CVE: CVE-2026-40138, CVE-2026-40140, CVE-2026-40141