Adobe ColdFusion sérülékenységek
Angol cím: Adobe ColdFusion vulnerabilities
CH azonosító: CH-14674
Publikálás dátuma: 2019.08.05.
Utolsó módosítás dátuma: 2019.06.26.
Leírás
Az Adobe ColdFusion kritikus sérülékenységei váltak ismertté, amelyek segítségével tetszőleges parancs futtatható a célrendszeren.
Leírás forrása: Gyártói referencia: helpx.adobe.com Leírás utolsó módosítása: 2019.08.05.Elemzés leírás
Az Adobe ColdFusion sérülékenységei váltak ismertté, amelyek kihasználásával a támadó tetszőleges kódot futtathat a támadott rendszeren. A probléma a JNBridge protokollban található, amelynek célja, hogy lehetővé tegye tetszőleges parancs és kód futtatását egy távoli Java futási környezetben. Egy tervezési hiba miatt azonban egy támadó képes lehet tetszőleges Java objektumokat létrehozni és futtatni a legmagasabb jogosultsággal.
Megoldás: Frissítés a legújabb verzióra, a JNBridge figyelő port elérésének korlátozása.
Érintett verziók:
- Adobe ColdFusion 2018.0 Update 3 és előtti
- Adobe ColdFusion 2016.0.0 Update 10 és előtti
- Adobe ColdFusion 11 Update 18 és előtti
Nem érintett verziók:
- Adobe ColdFusion 2018.0.0 Update 4
- Adobe ColdFusion 2016.0.0 Update 11
- Adobe ColdFusion 11 Update 19
Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
CVSS2 Súlyosság és Metrika
Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/Au:N/C:C/I:C/A:C
Hatás alpontszáma: 10.0
Kihasználhatóság alpontszáma: 10.0
Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Teljes
Sértetlenség Hatása (S): Teljes
Rendelkezésre állás Hatása (A): Teljes
Hivatkozások
CVE-2019-7839 - NVD CVE-2019-7839
Gyártói referencia: helpx.adobe.com
Egyéb referencia: packetstormsecurity.com
Egyéb referencia: www.securityfocus.com