Adobe ColdFusion sérülékenységek

Adobe ColdFusion sérülékenységek
Angol cím: Adobe ColdFusion vulnerabilities

CH azonosító: CH-14674
Publikálás dátuma: 2019.08.05.
Utolsó módosítás dátuma: 2019.06.26.

Leírás

Az Adobe ColdFusion kritikus sérülékenységei váltak ismertté, amelyek segítségével tetszőleges parancs futtatható a célrendszeren.

Leírás forrása: Gyártói referencia: helpx.adobe.com Leírás utolsó módosítása: 2019.08.05.

Elemzés leírás

Az Adobe ColdFusion sérülékenységei váltak ismertté, amelyek kihasználásával a támadó tetszőleges kódot futtathat a támadott rendszeren. A probléma a JNBridge protokollban található, amelynek célja, hogy lehetővé tegye tetszőleges parancs és kód futtatását egy távoli Java futási környezetben. Egy tervezési hiba miatt azonban egy támadó képes lehet tetszőleges Java objektumokat létrehozni és futtatni a legmagasabb jogosultsággal.

Megoldás: Frissítés a legújabb verzióra, a JNBridge figyelő port elérésének korlátozása.

Érintett verziók:

  • Adobe ColdFusion 2018.0 Update 3 és előtti
  • Adobe ColdFusion 2016.0.0 Update 10 és előtti
  • Adobe ColdFusion 11 Update 18 és előtti

Nem érintett verziók:

  • Adobe ColdFusion 2018.0.0 Update 4
  • Adobe ColdFusion 2016.0.0 Update 11
  • Adobe ColdFusion 11 Update 19
Elemzés leírás forrása: Egyéb referencia: packetstormsecurity.com Elemzés leírás utolsó módosítása: 2019.08.05.

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):

CVSS2 Súlyosság és Metrika

Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/Au:N/C:C/I:C/A:C
Hatás alpontszáma: 10.0
Kihasználhatóság alpontszáma: 10.0

Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Teljes
Sértetlenség Hatása (S): Teljes
Rendelkezésre állás Hatása (A): Teljes

Hivatkozások

CVE-2019-7839 - NVD CVE-2019-7839
Gyártói referencia: helpx.adobe.com
Egyéb referencia: packetstormsecurity.com
Egyéb referencia: www.securityfocus.com

Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2023-1529 – Google Chrome sérülékenysége
Tovább a sérülékenységekhez »