检测

VLC Web 接口 XML 服务远程命令执行

medium Nessus 插件 ID 69017

语言:

简介

远程 Web 服务器受到远程代码执行漏洞的影响。

描述

侦听远程主机的 VLC 媒体播放器 Web 接口不需要认证,这允许未经认证的远程攻击者通过 VLC Web 接口发出 XML 服务命令。

解决方案

必要时升级到 VLC 2.x,并在应用程序中配置访问控制列表 (ACL) 以限制对可信主机的访问。

另见

http://www.videolan.org/vlc/releases/2.0.7.html

https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2013-007/?fid=3876&dl=1

http://www.nessus.org/u?6f33883d

插件详情

严重性: Medium

ID: 69017

文件名: vlc_web_dir_listing.nasl

版本: 1.9

类型: remote

系列: CGI abuses

发布时间: 2013/7/23

最近更新时间: 2021/1/19

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 1.4

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: Medium

基本分数: 6.3

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:videolan:vlc_media_player

必需的 KB 项: www/VLC/installed

易利用性: No exploit is required

被 Nessus 利用: true

补丁发布日期: 2013/5/26

漏洞发布日期: 2013/6/10

参考资料信息

CVE: CVE-2013-3564

BID: 60705