检测

Sybase EAServer XML 外部实体 (XXE) 任意文件泄露

high Nessus 插件 ID 69171

语言:

简介

远程 Sybase 安装受到任意文件泄露漏洞的影响。

描述

远程 Sybase EAServer 安装受到任意文件泄露漏洞的影响。可以通过在发送到远程主机上的 REST 服务的、特别构建的 XML 数据中注入 XML 外部实体,查看系统中的任何文件。

请注意,受此漏洞影响的主机可能受到 Nessus 未对其测试的其他漏洞的影响。

解决方案

根据供应商的公告应用相应的修补程序。

另见

http://www.nessus.org/u?a6e04211

http://www.sybase.com/detail?id=1099353

插件详情

严重性: High

ID: 69171

文件名: sybase_easerver_xxe.nasl

版本: 1.13

类型: remote

系列: CGI abuses

发布时间: 2013/7/31

最近更新时间: 2021/6/3

支持的传感器: Nessus

风险信息

CVSS 分数理由: Information disclosure

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 6.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 分数来源: manual

漏洞信息

CPE: cpe:/a:sybase:easerver

必需的 KB 项: www/sybase_easerver

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

补丁发布日期: 2013/7/17

漏洞发布日期: 2013/7/17

参考资料信息

BID: 60614, 61358

IAVA: 2013-A-0123-S