Accellion File Transfer Appliance < 9_12_416 多个漏洞
critical Nessus 插件 ID 154933
语言:
简介
远程设备受到多个漏洞的影响。描述
Accellion Secure File Transfer Appliance 的远程版本低于 9_12_416。因此,该应用程序受到多个漏洞的影响:- 通过在请求中使用构建的主机标头,向端点注入 SQL。(CVE-2021-27101)
- 通过本地 Web 服务调用执行操作系统命令。(CVE-2021-27102)
- 通过构建的 POST 请求向端点发起 SSRF 攻击。(CVE-2021-27103)
- 通过构建的 POST 请求,对多个管理端点执行操作系统命令。(CVE-2021-27104)
此外,供应商不再为 Accellion File Transfer Appliance 提供支持。
缺少支持意味着供应商将不再发布该产品的任何新安全修补程序。因此,它很可能包含其他安全漏洞。
解决方案
更新至 9_12_416 或更新版本,也可以升级至当前受支持且更安全的平台 kiteworks。另见
插件详情
严重性: Critical
ID: 154933
文件名: accellion_fta_9_12_380.nasl
版本: 1.7
类型: remote
系列: CGI abuses
发布时间: 2021/11/5
最近更新时间: 2023/4/25
配置: 启用偏执模式
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2021-27104
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/h:accellion:secure_file_transfer_appliance
必需的 KB 项: Settings/ParanoidReport, installed_sw/Accellion Secure File Transfer Appliance
可利用: true
易利用性: Exploits are available
补丁发布日期: 2020/2/17
漏洞发布日期: 2020/2/17
CISA 已知可遭利用的漏洞到期日期: 2021/11/17
参考资料信息
CVE: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104