Дата публикации: | 19.08.2009 |
Всего просмотров: | 1760 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2009-1872 CVE-2009-1873 CVE-2009-1874 CVE-2009-1875 CVE-2009-1876 CVE-2009-1877 CVE-2009-1878 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Раскрытие системных данных Внедрение в сессию пользователя Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Adobe ColdFusion MX 7.x
Adobe ColdFusion 8.x Macromedia JRun 4.x |
Уязвимые версии: Adobe ColdFusion 8.0.1 и более ранние версии Adobe JRun 4.0 Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в URL в CFIDE/wizards/common/_logintowizard.cfm, CFIDE/wizards/common/_authenticatewizarduser.cfm и CFIDE/administrator/enter.cfm, и в параметре "startRow" в CFIDE/administrator/logviewer/searchlog.cfm. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за недостаточной обработки входных данных в ColdFusion. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "logfile" в сценарии logging/logviewer.jsp в консоли управления JRun. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. 4. Уязвимость существует из-за недостаточной обработки входных данных в консоли управления JRun. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 5. Уязвимость существует из-за ошибки в ColdFusion, связанной с двойным кодированием нулевого символа. Удаленный пользователь может получить доступ к важным данным на системе. 6. Уязвимость существует из-за ошибки фиксации сессий в ColdFusion. Удаленный пользователь может выполнить некоторые действия в приложении с повышенными привилегиями. URL производителя: www.adobe.com Решение: Установите последнюю версию с сайта производителя.
ColdFusion 7.0.2: |
|
Ссылки: | APSB09-12: Security Update: Hotfixes available for ColdFusion and JRun |
|
http://www.dsecrg.com/pages/vul/show.php?id=122 http://www.dsecrg.com/pages/vul/show.php?id=151 http://www.dsecrg.com/pages/vul/show.php?id=152 |