Adobe InDesign Server RunScript 任意命令执行

high Nessus 插件 ID 65127

简介

远程主机上运行的 Web 服务存在命令执行漏洞。

描述

远程主机上运行的 Adobe InDesign Server 版本存在任意命令执行漏洞。启用了 SOAP 服务时,它会在不要求认证的情况下处理对 RunScript 方法的请求。此方法可被用于在 Windows 上执行任意 VBScript 或在 Mac OS 上执行任意 AppleScript。未经认证的远程攻击者可利用此漏洞执行任意代码。

解决方案

目前尚未有任何已知的解决方案。

插件详情

严重性: High

ID: 65127

文件名: adobe_indesign_soap_runscript_rce.nasl

版本: 1.5

类型: remote

系列: CGI abuses

发布时间: 2013/3/8

最近更新时间: 2021/1/19

支持的传感器: Nessus

风险信息

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 7.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: cpe:/a:adobe:indesign

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

漏洞发布日期: 2012/11/16

可利用的方式

Metasploit (Adobe IndesignServer 5.5 SOAP Server Arbitrary Script Execution)

参考资料信息

BID: 56574

Secunia: 48572