検出

Lucee の解除した認証情報

critical Web App Scanning プラグイン ID 115029

Language:

概要

Lucee の解除した認証情報

説明

認証情報なしで Lucee ウェブアプリケーションが設定されている可能性があります。攻撃者がデフォルトアカウントを設定できる場合、アプリケーションへの認証されていないアクセスを取得し任意のアクションを実行する可能性があります。

ソリューション

デフォルトまたは予測可能な認証情報を使用するアカウントでアプリケーションを設定しないでください。攻撃者が推測したり、アプリケーションに不正アクセスしたりすることを防ぐために、複雑なパスワードポリシーを定義し、アプリケーションで利用可能なすべてのアカウントに適用する必要があります。

参考資料

https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html

https://en.wikipedia.org/wiki/Password_strength

https://luceeserver.atlassian.net/browse/LDEV-926

https://www.petefreitag.com/blog/lucee-admin-password-box/

プラグインの詳細

深刻度: Critical

ID: 115029

タイプ: remote

ファミリー: Web Applications

公開日: 2025/11/10

更新日: 2025/11/17

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Critical

基本値: 10

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS スコアのソース: Tenable

CVSS v4

リスクファクター: Critical

Base Score: 10

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

CVSS スコアのソース: Tenable

脆弱性情報

CPE: cpe:2.3:a:lucee:lucee:*:*:*:*:*:*:*:*

エクスプロイトの容易さ: No known exploits are available

参照情報