Adobe ColdFusion 11.x < 11u13 / 2016.x < 2016u5 Multiple Vulnerabilities (APSB17-30)
critical Nessus プラグイン ID 103194
Language:
概要
リモートホストで実行している Web ベースのアプリケーションは、複数の脆弱性の影響を受けます。説明
The version of Adobe ColdFusion running on the remote Windows host is 11.x prior to update 13 or 2016.x prior to update 5. It is, therefore, affected by multiple vulnerabilities :- A Java deserialization flaw exists that allows an unauthenticated, remote attacker to execute arbitrary code. (CVE-2017-11283, CVE-2017-11284)
- A reflected cross-site scripting (XSS) vulnerability exists due to improper validation of user-supplied input. 認証されていないリモートの攻撃者がこの脆弱性を悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。
(CVE-2017-11285)
- An unspecified flaw due to improper restriction of XML External Entity Reference. (CVE-2017-11286)
ソリューション
Adobe ColdFusionバージョン11は更新プログラム13、2016は更新プログラム5以降にアップグレードしてください。参考資料
https://helpx.adobe.com/security/products/coldfusion/apsb17-30.html
プラグインの詳細
深刻度: Critical
ID: 103194
ファイル名: coldfusion_win_apsb17-30.nasl
バージョン: 1.7
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2017/9/13
更新日: 2019/11/12
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.2
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2017-11284
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:adobe:coldfusion
必要な KB アイテム: SMB/coldfusion/instance
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2017/9/12
脆弱性公開日: 2017/9/12
エクスプロイト可能
Core Impact
参照情報
CVE: CVE-2017-11283, CVE-2017-11284, CVE-2017-11285, CVE-2017-11286