検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

FCKeditor.Javaコネクタサーブレット「CurrentFolder」無限ループDoS

medium Nessus プラグイン ID 39875

Language:

概要

リモートホストで実行されているWebアプリケーションに、サービス拒否の脆弱性があります。

説明

リモートWebサーバーは、Java環境でFCKeditorを実行するために使用される、FCKeditor.Javaを使用するWebアプリケーションをホストしています。

コネクタサーブレットの「CurrentFolder」パラメーターに対する入力が適切にサニタイズされません。Webサーバーが無限ループに陥るような特別に細工されたリクエストを作成することができます。リモート攻撃者が、これを使用して、サービス拒否を引き起こす可能性があります。

ソリューション

FCKeditor.Javaバージョン2.4.2以降にアップグレードしてください。

参考資料

https://dev.ckeditor.com/ticket/3902

http://sourceforge.net/project/shownotes.php?release_id=697258

http://java.fckeditor.net/changes-report.html

プラグインの詳細

深刻度: Medium

ID: 39875

ファイル名: fckeditor_java_currentfolder_dos.nasl

バージョン: 1.18

タイプ: remote

ファミリー: CGI abuses

公開日: 2009/7/20

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2009/7/15

脆弱性公開日: 2009/7/7

参照情報

CVE: CVE-2009-4875

BID: 35709

SECUNIA: 35870