Vigil@nce - Nessus Web UI : obtention d’information via server/properties
août 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut accéder à /server/properties de Nessus Web UI,
afin d’obtenir des informations sensibles.
Produits concernés : Nessus
Gravité : 2/4
Date création : 21/07/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Nessus Web UI dispose d’un service web.
La page /server/properties affiche des informations. Cependant,
l’accès à certaines informations ne requiert pas
d’authentification : Plugin Set, Server uuid, Web Server Version,
Nessus UI Version, Nessus Type, Notifications, MSP, Capabilities,
Multi Scanner, Multi User, Tags, Reset Password, Report Diff,
Report Email Config, Report Email, PCI Upload, Plugin Rules,
Plugin Set, Idle Timeout, Scanner Boot time, Server Version, Feed,
Status.
Un attaquant peut donc accéder à /server/properties de Nessus Web
UI, afin d’obtenir des informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Nessus-Web-UI-obtention-d-information-via-server-properties-15080