Accellion File Transfer Appliance < 9_12_416 の複数の脆弱性
critical Nessus プラグイン ID 154933
Language:
概要
リモートデバイスは複数の脆弱性の影響を受けます。説明
リモートの Accellion Secure File Transfer Appliance のバージョンは、9_12_416 より前です。そのため、以下の複数の脆弱性の影響を受けます。- エンドポイントへのリクエストの細工された Host ヘッダーを介した SQL インジェクション。(CVE-2021-27101)
- ローカルの Web サービス呼び出しによる OS コマンドの実行。(CVE-2021-27102)
- エンドポイントへの細工された POST リクエストを介した SSRF。(CVE-2021-27103)
- さまざまな管理エンドポイントに対する細工された POST リクエストを介した OS コマンドの実行。(CVE-2021-27104)
また、Accellion File Transfer Appliance は、ベンダーによるサポートが終了しています。
サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、他のセキュリティの脆弱性が含まれている可能性があります。
ソリューション
バージョン 9_12_416 以降に更新するか、より安全なプラットフォームである、現在サポートされている kiteworks にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 154933
ファイル名: accellion_fta_9_12_380.nasl
バージョン: 1.7
タイプ: remote
ファミリー: CGI abuses
公開日: 2021/11/5
更新日: 2023/4/25
設定: パラノイドモードの有効化
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2021-27104
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/h:accellion:secure_file_transfer_appliance
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Accellion Secure File Transfer Appliance
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/2/17
脆弱性公開日: 2020/2/17
CISA の既知の悪用された脆弱性の期限日: 2021/11/17
参照情報
CVE: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104