Dell KACE K1000 < 5.5 多种 SQL 注入漏洞

medium Nessus 插件 ID 72392

简介

系统管理设备的 Web 界面受到多种 SQL 注入漏洞的影响。

描述

远程主机上的 Dell KACE K1000 设备的版本的 Web 界面受到多种 SQL 注入漏洞的影响。以下参数和脚本受到影响:

-“adminui/history_log.php”的“TYPE_ID”参数。

-“adminui/service.php”、“adminui/software.php”、“adminui/settings_network_scan.php”、“adminui/asset.php”、“adminui/asset_type.php”、“adminui/metering.php”、“adminui/mi.php”、“adminui/replshare.php”、“adminui/kbot.php”、“/userui/advisory_detail.php”和“/userui/ticket.php”的“ID”参数。

-“/service/kbot_service.php”的“macAddress”和“getKBot”参数。

-“/userui/ticket_list.php”的“ORDER[]”参数。

请注意,Nessus 并未测试这些问题,相反,它只依赖于应用程序自我报告的版本号。

解决方案

将 KACE 升级到 5.5 或更高版本。

另见

https://www.vulnerability-lab.com/get_content.php?id=832

http://www.nessus.org/u?e29997ea

http://www.kace.com/support/resources/kb/solutiondetail?sol=SOL119257

插件详情

严重性: Medium

ID: 72392

文件名: dell_kace_k1000_5_5_mult_sqli.nasl

版本: 1.5

类型: remote

系列: CGI abuses

发布时间: 2014/2/7

最近更新时间: 2021/1/19

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2014-1671

漏洞信息

CPE: cpe:/h:dell:kace_k1000_systems_management_appliance

必需的 KB 项: www/dell_kace_k1000

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/8/10

漏洞发布日期: 2013/7/22

参考资料信息

CVE: CVE-2014-1671

BID: 61382, 65029