Adobe Connect < 11.4.7の複数の脆弱性 (APSB24-99)

critical Nessus プラグイン ID 212244

概要

リモート Web サーバーに、複数の脆弱性の影響を受けるアプリケーションが含まれています。

説明

リモートホストでインストールされている Adobe Connect のバージョンは11.4.9より前です。したがって、apsb24-99 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Adobe Connect バージョン 12.6、11.4.7 およびそれ以前は、蓄積型クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者がこれを悪用し、脆弱なフォームフィールドに悪意のあるスクリプトを注入する可能性があります。
被害者が脆弱なフィールドを含むページを閲覧するとき、悪意のある JavaScript が被害者のブラウザで実行される可能性があります。(CVE-2024-54032、CVE-2024-54036、CVE-2024-54039、CVE-2024-54040、CVE-2024-54041)

- Adobe Connect バージョン 12.6、11.4.7 およびそれ以前は、折り返し型クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者が被害者に、脆弱なページを参照している URL にアクセスするよう誘導することができる場合、悪意のある JavaScript コンテンツが被害者のブラウザのコンテキスト内で実行される可能性があります。(CVE-2024-49550、CVE-2024-54034、CVE-2024-54042、CVE-2024-54043、CVE-2024-54044、CVE-2024-54045、CVE-2024-54046、CVE-2024-54047、CVE-2024-54048、CVE-2024-54049)

- Adobe Connect バージョン 12.6、11.4.7 およびそれ以前は、DOM ベースのクロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。攻撃者がこれを悪用し、被害者のブラウザセッションのコンテキストで任意のコードを実行する可能性があります。細工された URL またはユーザー入力を通じて DOM 要素を操作することで、攻撃者は、ページのレンダリング時に実行される悪意のあるスクリプトを注入できます。このタイプの攻撃にはユーザーの操作が必要です。被害者は悪意のあるリンクにアクセスするか、侵害されたフォームにデータを入力する必要があるためです。
(CVE-2024-54037)

- Adobe Connect バージョン 12.6、11.4.7 およびそれ以前は、信頼できないサイトへの URL リダイレクト (「オープンリダイレクト」) の脆弱性の影響を受けます。攻撃者がこの脆弱性を利用して、ユーザーを悪意のある Web サイトにリダイレクトする可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2024-54050、CVE-2024-54051)

- Adobe Connect バージョン12.6、11.4.7 およびそれ以前は、セキュリティ機能のバイパスにつながる不適切なアクセスコントロールの脆弱性の影響を受けます。攻撃者がこの脆弱性を利用して、セキュリティ対策をバイパスし、認証されていないアクセスを取得する可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2024-54038)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Adobe Connect バージョン 11.4.9 以降にアップグレードしてください。

参考資料

https://helpx.adobe.com/security/products/connect/apsb24-99.html

プラグインの詳細

深刻度: Critical

ID: 212244

ファイル名: adobe_connect_apsb24-99.nasl

バージョン: 1.5

タイプ: remote

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2024/12/10

更新日: 2025/5/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.3

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2024-54036

CVSS v3

リスクファクター: Critical

基本値: 9.3

現状値: 8.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:adobe:connect

必要な KB アイテム: installed_sw/Adobe Connect

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/12/10

脆弱性公開日: 2024/12/10

参照情報

CVE: CVE-2024-49550, CVE-2024-54032, CVE-2024-54034, CVE-2024-54035, CVE-2024-54036, CVE-2024-54037, CVE-2024-54038, CVE-2024-54039, CVE-2024-54040, CVE-2024-54041, CVE-2024-54042, CVE-2024-54043, CVE-2024-54044, CVE-2024-54045, CVE-2024-54046, CVE-2024-54047, CVE-2024-54048, CVE-2024-54049, CVE-2024-54050, CVE-2024-54051

CWE: 284, 285, 601, 79

IAVB: 2024-B-0192-S