Ipswitch WhatsUp Gold < 16.5.0 WrFreeFormText.asp sUniqueID Parameter Blind SQLi(证书式)
high Nessus 插件 ID 97140
语言:
简介
远程主机上安装的应用程序受到 SQL 注入漏洞的影响描述
根据其自我报告的版本号,远程主机上安装的 Ipswitch WhatsUp Gold 应用程序低于版本 16.5.0。- 由于未正确清理用户对“sUniqueID”参数和“寻找设备”字段提供的输入,因而会受到 WrFreeFormText.asp 文件中 SQL 注入漏洞的影响。经身份验证的远程攻击者可利用此问题,在后端数据库中注入或操纵 SQL 查询,进而导致操纵或泄露任意数据。请注意,此问题仅在 16.4.1 版本中进行过测试,但我们认为会影响所有早期版本。
解决方案
升级到 Ipswitch WhatsUp Gold 版本 16.5.0 或更高版本。另见
插件详情
严重性: High
ID: 97140
文件名: ipswitch_whatsup_gold_16_5_0.nasl
版本: 1.7
类型: local
代理: windows
系列: Windows
发布时间: 2017/2/14
最近更新时间: 2023/6/30
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.5
时间分数: 4.8
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS 分数来源: CVE-2016-1000000
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:ipswitch:whatsup_gold
必需的 KB 项: SMB/Ipswitch_WhatsUp_Gold/Installed
易利用性: No known exploits are available
补丁发布日期: 2016/4/21
漏洞发布日期: 2015/12/16
参考资料信息
CVE: CVE-2016-1000000
BID: 94496
IAVA: 2016-A-0335-S
TRA: TRA-2016-15