Adobe Document ServerファイルURIの任意のリソース操作
low Nessus プラグイン ID 21100
Language:
概要
リモート Web サーバーは、複数の欠陥の影響を受けます。説明
リモートホストは、PDFドキュメントやグラフィック画像を動的に作成して操作するサーバーのAdobe Document Serverを実行しています。リモートホストにインストールされているAdobe Document Serverのバージョンでは、PDFドキュメントやXMLドキュメントだけでなく、ファイルURIを使用するほとんどのタイプの画像ファイルも、影響を受けるホストの任意の場所に任意の拡張子で保存できます。認証されていないリモート攻撃者が、この欠陥を利用して、悪意のあるJavaScriptをメタデータとして含むグラフィックス画像を、ユーザーがログインするたびに実行されるスタートアップフォルダに書き込む可能性があります。
加えて、攻撃者は、任意のPDFファイル、XMLドキュメント、およびほとんどのタイプの画像ファイルを取得できるため、機密情報の漏洩につながる可能性があります。
ソリューション
ディストリビューションに含まれている「server/tools/security/readme.txt」ファイルと上記のベンダーアドバイザリの説明に従って、アプリケーションの構成を強化してください。参考資料
https://secuniaresearch.flexerasoftware.com/secunia_research/2005-28/advisory/
プラグインの詳細
深刻度: Low
ID: 21100
ファイル名: adobe_document_server_file_uri_access.nasl
バージョン: 1.24
タイプ: remote
ファミリー: CGI abuses
公開日: 2006/3/18
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.0
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 2.5
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:N
脆弱性情報
CPE: cpe:/a:adobe:document_server
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
Nessus によりエクスプロイト済み: true
パッチ公開日: 2006/3/15
脆弱性公開日: 2006/3/15
参照情報
CVE: CVE-2006-1182
BID: 17113