検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

Atlassian Confluence 7.16.x < 7.16.4 複数のサーブレットフィルターの脆弱性

critical Web App Scanning プラグイン ID 113322

Language:

概要

Atlassian Confluence 7.16.x < 7.16.4 複数のサーブレットフィルターの脆弱性

説明

自己報告されたバージョン番号によると、リモートホストで実行されている Atlassian Confluence アプリケーションは、7.4.17より前、7.13.7 より前の 7.5.x、7.14.3 より前の 7.14.x、7.15.2 より前の 7.15.x、7.16.4 より前の 7.16.x、7.17.4 または 7.18.0より前の 7.17.x です。したがって、次の脆弱性の影響を受けます。

-認証バイパスまたはクロスサイトスクリプティング（XSS）につながる、任意のサーブレットフィルターバイパスの脆弱性。リモートの認証されていない攻撃者が、ファーストパーティおよびサードパーティのアプリが使用するサーブレットフィルターをバイパスする可能性があります。影響は、各アプリが使用するフィルター、およびフィルターの使用方法によって異なります。(CVE-2022-26136)

-クロスオリジンリソース共有（CORS）バイパスを引き起こす可能性のある、追加のサーブレットフィルター呼び出しの脆弱性。追加のサーブレットフィルター呼び出し (CVE-2022-26137) リモートの認証されていない攻撃者が、アプリケーションがリクエストまたは応答を処理するときに、追加のサーブレットフィルターを呼び出す可能性があります。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Atlassian Confluence バージョン 7.16.4 以降にアップグレードしてください。

参考資料

https://jira.atlassian.com/browse/CONFSERVER-79476

プラグインの詳細

深刻度: Critical

ID: 113322

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2022/7/28

更新日: 2023/3/14

スキャンテンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-26136

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS スコアのソース: CVE-2022-26136

脆弱性情報

CPE: cpe:2.3:a:atlassian:confluence:*:*:*:*:*:*:*:*

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/7/20

脆弱性公開日: 2022/7/5

参照情報

CVE: CVE-2022-26136, CVE-2022-26137

CWE: 180, 287, 346, 79

OWASP: 2010-A2, 2010-A3, 2010-A6, 2013-A2, 2013-A3, 2013-A5, 2013-A9, 2017-A2, 2017-A6, 2017-A7, 2017-A9, 2021-A3, 2021-A6, 2021-A7

WASC: Application Misconfiguration, Cross-Site Scripting, Insufficient Authentication

CAPEC: 111, 114, 115, 141, 142, 151, 160, 194, 209, 21, 22, 384, 385, 386, 387, 388, 510, 57, 588, 59, 591, 592, 593, 60, 63, 633, 650, 75, 76, 85, 89, 94

DISA STIG: APSC-DV-000460, APSC-DV-002490, APSC-DV-002560, APSC-DV-002630

HIPAA: 164.306(a)(1), 164.306(a)(2), 164.312(a)(1), 164.312(a)(2)(i)

ISO: 27001-A.10.1, 27001-A.13.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.14.2.5, 27001-A.18.1.3, 27001-A.6.2.2, 27001-A.9.1.2, 27001-A.9.4.1, 27001-A.9.4.4, 27001-A.9.4.5

NIST: sp800_53-AC-3, sp800_53-CM-6b, sp800_53-SI-10, sp800_53-SI-10(5)

OWASP API: 2019-API7, 2023-API8

OWASP ASVS: 4.0.2-14.2.1, 4.0.2-14.4.7, 4.0.2-5.3.3

PCI-DSS: 3.2-6.2, 3.2-6.5.10, 3.2-6.5.7, 3.2-6.5.8