BlackBerry Enterprise Service 多种漏洞 (BSRT-2016-001)

high Nessus 插件 ID 88881

简介

远程 Windows 主机上安装有受多种漏洞影响的应用程序。

描述

根据其版本,远程主机上安装的 BlackBerry Enterprise Service (BES) 版本低于 12.4,因此受到下列漏洞影响:

- 存在一个 SQL 注入漏洞,造成此漏洞的原因是未正确审查用户对 com.rim.mdm.ui.server.ImageServlet Servlet 中“ImageName”参数提供的输入。远程攻击者可利用此漏洞,通过诱骗用户单击特别构建的链接,将 SQL 查询注入后端数据库或操控此类查询,进而导致操控或泄露任意数据。(CVE-2016-1914)

- 存在多种跨站脚本漏洞,造成此类漏洞的原因是未正确审查用户向 index.jsp 和 loggedOut.jsp 脚本中的“locale”参数提供的输入。远程攻击者可利用此漏洞,通过特别构建的请求,在用户浏览器会话中执行任意脚本代码。(CVE-2016-1915)

解决方案

更新到 BlackBerry Enterprise Service 12.4 或更高版本。

另见

http://support.blackberry.com/kb/articleDetail?articleNumber=000038033

插件详情

严重性: High

ID: 88881

文件名: blackberry_es_12_4.nasl

版本: 1.5

类型: local

代理: windows

系列: Windows

发布时间: 2016/2/22

最近更新时间: 2019/11/20

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2016-1914

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:blackberry:blackberry_enterprise_service

必需的 KB 项: SMB/Registry/Enumerated, BlackBerry_ES/Product

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/1/29

漏洞发布日期: 2016/2/15

参考资料信息

CVE: CVE-2016-1914, CVE-2016-1915