Nessus Network Monitor – CVE-2022-24785
Date de publication :
Date de mise à jour :
Une validation incorrecte de données fournies par un utilisateur dans la bibliothèque Javasript Moment.js utilisée par Nessus Network Monitor permet à un attaquant de porter atteinte à la confidentialité et à l’intégrité de certaines données.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Atteinte à l’intégrité des données
Atteinte à la confidentialité des données
Exploitation
La vulnérabilité exploitée est du type
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
- Moment.js en versions 1.0.1 à 2.29.1 est affecté par cette vulnérabilité.
- Nessus Network Monitor en versions 5.11.0 à 6.1.1 ainsi que les produits utilisant la bibliothèque JavaScript Moment.js sont affectés par cette vulnérabilité.
Contournement provisoire
Nettoyage des paramètres régionaux fournis par l'utilisateur avant de les transmettre à Moment.js.
Solutions ou recommandations
- Mettre à jour Moment.js à la version 2.29.2.
- Mettre à jour Nessus Network Monitor à la version 6.2.0.
- Des informations complémentaires sont disponibles ici.