SonicWALL Global Management System (GMS) / Analyzer GMC 服务 XML 外部实体 (XXE) 注入
critical Nessus 插件 ID 92967
语言:
简介
远程主机上运行的一个 Web 应用程序受到一个 XML 外部实体注入漏洞影响。描述
远程主机上运行的 SonicWALL Global Management System (GMS) / Analyzer 受到 GMC 服务中的一个 XML 外部实体 (XXE) 注入漏洞的影响,这是未正确配置 XML 解析器(接受来自不受信任来源的 XML 实体)所致。未经认证的远程攻击者可利用此漏洞,通过特别构建的 XML 数据检索任意文件的内容,或是造成拒绝服务情况。在某种情况下,未经认证的远程攻击者可取得静态密钥,用以解密和更改 GMS Web 界面管理员帐户的管理员密码。请注意,据报远程主机上运行的 SonicWALL GMS / Analyzer 还受到其他漏洞影响,但 Nessus 尚未针对这些漏洞进行测试。
解决方案
根据供应商公告应用 Hotfix 174525。另见
插件详情
严重性: Critical
ID: 92967
文件名: sonicwall_gms_analyzer_gmc_unauth_xxe.nasl
版本: 1.7
类型: remote
系列: CGI abuses
发布时间: 2016/8/15
最近更新时间: 2018/8/8
支持的传感器: Nessus
漏洞信息
CPE: cpe:/a:sonicwall:analyzer, cpe:/a:sonicwall:global_management_system
必需的 KB 项: sonicwall/universal_management_appliance
被 Nessus 利用: true
补丁发布日期: 2016/7/20
漏洞发布日期: 2016/7/20