Web サーバー HTTP 危険メソッドの検出

high Nessus プラグイン ID 10498
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Web サーバーにより、PUT および/または DELETE メソッドが可能になります。

説明

PUT メソッドにより、攻撃者は、サーバーの任意の Web ページをアップロードできます。サーバーが、ASP や PHP などのスクリプトをサポートするように構成されている場合、これによって攻撃者は、Web サーバーの権限でコードを実行できます。

DELETE メソッドにより、攻撃者は、Web サーバーから任意のコンテンツを削除できます。

ソリューション

Web サーバー構成で、PUT および/または DELETE メソッドを無効にします。

関連情報

https://tools.ietf.org/html/rfc7231#section-4.3.4

https://tools.ietf.org/html/rfc7231#section-4.3.5

プラグインの詳細

深刻度: High

ID: 10498

ファイル名: http_methods.nasl

バージョン: 1.50

タイプ: remote

ファミリー: Web Servers

公開日: 2000/8/30

更新日: 2018/8/8

依存関係: http_version.nasl

リスク情報

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.3

Temporal Score: 6.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

脆弱性公開日: 1994/1/1

エクスプロイト可能

Metasploit (Microsoft IIS WebDAV Write Access Code Execution)

参照情報

BID: 12141

OWASP: OWASP-CM-008