Oracle GlassFish Server 3.1.1 < 3.1.1.3 の複数の脆弱性(April 2012 CPU)
high Nessus プラグイン ID 58846
Language:
概要
リモート Web サーバーは複数の脆弱性の影響を受けます。説明
リモートホストで実行されているバージョンの Oracle GlassFish Server は、複数の脆弱性の影響を受けます。- REST インターフェイスにクロスサイトリクエスト偽装(CSRF)脆弱性があります。認証されたユーザーをトリックにかけて、この脆弱性を利用する Web ページに誘導して、任意の WAR ファイルを GlassFish サーバーにアップロードさせ、そのファイルを GlassFish の認証情報で実行できます。
(CVE-2012-0550)
- 管理インターフェイスのクロスサイトスクリプティング(XSS)脆弱性。この脆弱性により、GlassFish 管理インターフェイスのコンテキストで JavaScript を実行することができ、認証されているユーザーの認証情報が盗まれて、その後の攻撃で使用されることがあります。(CVE-2012-0551)
ソリューション
GlassFish Server 3.1.1.3 または以降にアップグレードしてください。参考資料
https://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
http://www.nessus.org/u?fe94efd1
プラグインの詳細
深刻度: High
ID: 58846
ファイル名: glassfish_cpu_apr_2012.nasl
バージョン: 1.13
タイプ: remote
ファミリー: Web Servers
公開日: 2012/4/24
更新日: 2018/11/15
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.1
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:oracle:glassfish_server
必要な KB アイテム: www/glassfish
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2012/1/23
脆弱性公開日: 2012/4/17
参照情報
CVE: CVE-2012-0550, CVE-2012-0551