Adobe ColdFusion 2016.x < 2016u14 / 2018.x < 2018u8の複数の脆弱性(APSB20-16)
critical Nessus プラグイン ID 134765
Language:
概要
リモートホストで実行している Web ベースのアプリケーションは、複数の脆弱性の影響を受けます。説明
The version of Adobe ColdFusion installed on the remote Windows host is prior to 2016.x update 14 or 2018.x update 8. It is, therefore, affected by multiple vulnerabilities as referenced in the APSB20-16 advisory.- Coldfusionインストールディレクトリからの任意ファイル読み取りにつながる可能性があるリモートファイル読み取り(CVE-2020-3761)
- Webルートまたはそのサブディレクトリに配置されたファイルの任意コード実行につながる可能性があるファイルインクルード(CVE-2020-3794)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Adobe ColdFusionバージョン2016アップデート14/2018アップデート8以降に更新してください。参考資料
https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
プラグインの詳細
深刻度: Critical
ID: 134765
ファイル名: coldfusion_win_apsb20-16.nasl
バージョン: 1.4
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2020/3/20
更新日: 2020/4/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2020-3794
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:adobe:coldfusion
必要な KB アイテム: SMB/coldfusion/instance
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/3/17
脆弱性公開日: 2020/3/17
参照情報
CVE: CVE-2020-3761, CVE-2020-3794