Adobe ColdFusion sérülékenységek

CH azonosító: CH-14674
Cím: Adobe ColdFusion sérülékenységek
Angol cím: Adobe ColdFusion vulnerabilities

Publikálás dátuma: 2019.08.05.
Utolsó módosítás dátuma: 2019.06.26.


Leírás

Az Adobe ColdFusion kritikus sérülékenységei váltak ismertté, amelyek segítségével tetszőleges parancs futtatható a célrendszeren.


Leírás forrása: Gyártói referencia: helpx.adobe.com
Leírás utolsó módosítása: 2019.08.05.


Elemzés leírás

Az Adobe ColdFusion sérülékenységei váltak ismertté, amelyek kihasználásával a támadó tetszőleges kódot futtathat a támadott rendszeren. A probléma a JNBridge protokollban található, amelynek célja, hogy lehetővé tegye tetszőleges parancs és kód futtatását egy távoli Java futási környezetben. Egy tervezési hiba miatt azonban egy támadó képes lehet tetszőleges Java objektumokat létrehozni és futtatni a legmagasabb jogosultsággal.

Megoldás: Frissítés a legújabb verzióra, a JNBridge figyelő port elérésének korlátozása.

Érintett verziók:

  • Adobe ColdFusion 2018.0 Update 3 és előtti
  • Adobe ColdFusion 2016.0.0 Update 10 és előtti
  • Adobe ColdFusion 11 Update 18 és előtti

Nem érintett verziók:

  • Adobe ColdFusion 2018.0.0 Update 4
  • Adobe ColdFusion 2016.0.0 Update 11
  • Adobe ColdFusion 11 Update 19

Elemzés leírás forrása: Egyéb referencia: packetstormsecurity.com
Elemzés leírás utolsó módosítása: 2019.08.05.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/Au:N/C:C/I:C/A:C
Hatás alpontszáma: 10.0
Kihasználhatóság alpontszáma: 10.0


Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Teljes
Sértetlenség Hatása (S): Teljes
Rendelkezésre állás Hatása (A): Teljes


Hivatkozások

CVE-2019-7839 - NVD CVE-2019-7839
Gyártói referencia: helpx.adobe.com
Egyéb referencia: packetstormsecurity.com
Egyéb referencia: www.securityfocus.com