Atlassian Bamboo < 5.4.3 / 5.5.1 / 5.6.0 XWork Library ClassLoader 操作のリモートのコード実行
critical Nessus プラグイン ID 77156
Language:
概要
リモートWebアプリケーションは、リモートコード実行の脆弱性の影響を受けます。説明
自己報告されたバージョン番号によると、リモートホストで実行している Atlassian Bamboo のインスタンスは 5.4.3 より前のバージョン 5.4.x または 5.5.1 より前のバージョン 5.5.x です。このため、XWork ライブラリの詳細不明な欠陥によって影響を受けます。認証されていないリモートの攻撃者が ClassLoader の操作を介して、これを悪用して、任意の Java コードを実行する可能性があります。注意:この脆弱性を悪用するにあたり、攻撃者は Bamboo Web インターフェイスにアクセスできる必要があります。また、匿名アクセスが有効の場合、有効なユーザーアカウントは必要ありません。Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Atlassian Bamboo バージョン 5.4.3 / 5.5.1 / 5.6.0 またはそれ以降にアップグレードしてください。または、ベンダーが提供するパッチを適用してください。
参考資料
プラグインの詳細
深刻度: Critical
ID: 77156
ファイル名: bamboo_5_4_3.nasl
バージョン: 1.8
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/8/12
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:atlassian:bamboo
必要な KB アイテム: Settings/ParanoidReport, installed_sw/bamboo
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/5/21
脆弱性公開日: 2014/5/6
参照情報
BID: 67622