検出

Adobe Experience Manager 6.2.x <= 6.2 SP1-CFP20 / 6.3.x <= 6.3.3.8 / 6.4.x < 6.4.8.2 / 6.5.x < 6.5.6.0(APSB20-56)

high Nessus プラグイン ID 140531

Language:

概要

リモートホストにインストールされているAdobe Experience Managerは、複数の脆弱性の影響を受けます(APSB20-56)

説明

リモートホストにインストールされているAdobe Experience Managerのバージョンは、6.2.xから6.2、SP1-SFP20、6.3.xから6.3.3.8、6.4.8.2より前の6.4.x、または6.5.6.0より前の6.5.xです。そのため、以下の複数の脆弱性の影響を受けます。

 - Adobe Experience Managerが不要な権限で実行されるため、攻撃者が機密情報を漏えいする可能性があります。(CVE-2020-9733)

 - Adobe Experience Managerに格納型クロスサイトスクリプティングの脆弱性が存在し、これにより、攻撃者はユーザーのブラウザで任意のコードを実行できます。(CVE-2020-9735、CVE-2020-9736、CVE-2020-9737、CVE-2020-9738、CVE-2020-9740)

 - Adobe Experience Managerに反射型クロスサイトスクリプティングの脆弱性が存在し、これにより、攻撃者はユーザーのブラウザで任意のコードを実行できます。(CVE-2020-9742)

 - HTMLインジェクションの脆弱性が存在し、攻撃者が任意のHTMLをユーザーのブラウザに挿入する可能性があります。(CVE-2020-9743)

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。このプラグインがパッチレベルの情報を取得するには、WebコンソールのHTTP認証情報が必要です。正確な結果を得るには、NessusスキャンでAdobe Experience Managerポート(デフォルトで、4502および/または4503)を有効にしなければならない場合があります。

ソリューション

ベンダーアドバイザリの推奨されている更新プログラムを適用してください。

参考資料

http://www.nessus.org/u?d245226a

プラグインの詳細

深刻度: High

ID: 140531

ファイル名: adobe_experience_manager_apsb20-56.nasl

バージョン: 1.5

タイプ: remote

ファミリー: Misc.

公開日: 2020/9/11

更新日: 2021/5/14

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2020-9733

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:adobe:experience_manager

必要な KB アイテム: installed_sw/Adobe Experience Manager

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/9/9

脆弱性公開日: 2020/9/9

参照情報

CVE: CVE-2020-9733, CVE-2020-9735, CVE-2020-9736, CVE-2020-9737, CVE-2020-9738, CVE-2020-9740, CVE-2020-9742, CVE-2020-9743

IAVA: 2020-A-0422-S