Atlassian Confluence < 4.3.7 の複数の脆弱性
medium Nessus プラグイン ID 71213
Language:
概要
リモート Web アプリケーションは、複数の脆弱性の影響を受けます。説明
自己報告バージョン番号によると、リモートホストの Atlassian Confluence のインスタンスはバージョン 4.3.7 より前です。したがって、以下の複数の脆弱性による影響を受けます。
- iframe バティング保護の欠落により、クリックジャッキングの脆弱性が存在しています。攻撃者がこれを悪用して、ユーザーの代わりに、限られた量のアクションを行うことができます。
- このアプリケーションは、ユーザーがアップロードしたファイルを適切にチェックしません。フラッシュファイルをアップロードすることで、リモートの攻撃者が、ユーザーのアクセスできるパスにファイルを配置する可能性があります。ファイルに対する後続の直接のリクエストにより、攻撃者が Web サーバーの権限でスクリプトを実行するできる可能性があります。
- アプリケーションが Wiki ページにアップロードされた添付ファイルを適切にチェックしていないため、クロスサイトスクリプティングの欠陥が存在しています。特別に細工されたファイルをアップロードすることで、攻撃者が、ブラウザ/サーバー信頼関係内で任意のスクリプトを実行する可能性があります。
Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Confluence バージョン 4.3.7 または以降へアップグレードするか、ベンダーの適切なパッチを適用してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 71213
ファイル名: confluence_4_3_7.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses
公開日: 2013/12/4
更新日: 2025/5/14
設定: パラノイドモードの有効化, 徹底したチェックを有効にする (optional)
サポートされているセンサー: Nessus
Enable CGI Scanning: true
脆弱性情報
CPE: cpe:/a:atlassian:confluence
必要な KB アイテム: Settings/ParanoidReport, www/confluence
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/1/29
脆弱性公開日: 2013/7/11