Adobe ColdFusion 10.x < 10u23 / 11.x < 11u12 / 2016.x < 2016u4 Multiple Vulnerabilities (APSB17-14)
critical Nessus プラグイン ID 99669
Language:
概要
リモートホストで実行している Web ベースのアプリケーションは、複数の脆弱性の影響を受けます。説明
The version of Adobe ColdFusion running on the remote Windows host is 10.x prior to update 23, 11.x prior to update 12, 2016.x prior to update 4. It is, therefore, affected by multiple vulnerabilities :- A reflected cross-site scripting (XSS) vulnerability exists due to improper validation of user-supplied input. 認証されていないリモートの攻撃者がこの脆弱性を悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。
(CVE-2017-3008)
- A Java deserialization flaw exists in the Apache BlazeDS library that allows an unauthenticated, remote attacker to execute arbitrary code. (CVE-2017-3066)
ソリューション
Adobe ColdFusionバージョン10は更新プログラム23、11は更新プログラム12、2016は更新プログラム4以降にアップグレードしてください。参考資料
https://helpx.adobe.com/security/products/coldfusion/apsb17-14.html
プラグインの詳細
深刻度: Critical
ID: 99669
ファイル名: coldfusion_win_apsb17-14.nasl
バージョン: 1.6
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2017/4/25
更新日: 2019/11/13
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2017-3066
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:adobe:coldfusion
必要な KB アイテム: SMB/coldfusion/instance
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2017/4/25
脆弱性公開日: 2017/4/25
参照情報
CVE: CVE-2017-3008, CVE-2017-3066