CommonSpot < 7.0.2 / 8.0.3 / 9.0.0 多种漏洞
critical Nessus 插件 ID 73611
语言:
简介
远程 Web 服务器包含受到多种漏洞影响的基于 ColdFusion 的应用程序。描述
根据其版本号,远程 Web 服务器上托管的 CommonSpot 安装受到多种漏洞的影响:- 通过直接请求导致的访问限制绕过。
(CVE-2014-2859)
- 多种跨站脚本 (XSS) 漏洞。
(CVE-2014-2860、CVE-2014-2861)
- 不明请求中的授权检查不当可允许未经认证的远程攻击者执行未授权的操作。(CVE-2014-2862)
- 多种路径遍历漏洞允许未经认证的远程攻击者请求获得参数的完整路径名。(CVE-2014-2863)
- 多种目录遍历漏洞。
(CVE-2014-2864)
- 应用程序不能限制空字节的使用,该漏洞可被用来绕过访问限制。
(CVE-2014-2865)
- 应用程序使用客户端 JavaScript 代码进行访问限制,通过攻击者控制的 JavaScript 可绕过此访问限制。(CVE-2014-2866)
- 未受限制的文件上传可导致将危险的文件类型添加到服务器。(CVE-2014-2867)
- 多个页面允许远程攻击者通过 HTTP GET 请求替代 ColdFusion 变量。
(CVE-2014-2868)
- 多个页面允许信息泄露。
(CVE-2014-2869)
- 应用程序默认以明文将凭据存储到底层应用程序数据库中。
(CVE-2014-2870)
- 应用程序通过 HTTP 传输明文凭据。(CVE-2014-2871)
- 多种目录清单允许对敏感信息的潜在访问。(CVE-2014-2872)
- 应用程序允许对日志文件进行未经认证的访问,从而允许信息泄露。
(CVE-2014-2873)
- 应用程序允许未经认证的远程攻击者通过任意参数执行任意命令。
(CVE-2014-2874)
请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。
解决方案
升级到 CommonSpot 7.0.2 / 8.0.3 / 9.0.0 或更高版本。另见
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2859.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2860.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2861.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2862.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2863.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2864.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2865.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2866.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2867.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2868.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2869.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2870.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2871.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2872.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2873.html
https://www.zerodaylab.com/vulnerabilities/CVE-2014/CVE-2014-2874.html
插件详情
严重性: Critical
ID: 73611
文件名: commonspot_7_0_2.nasl
版本: 1.10
类型: remote
系列: CGI abuses
发布时间: 2014/4/18
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/a:paperthin:commonspot_content_server
必需的 KB 项: www/commonspot
易利用性: No known exploits are available
补丁发布日期: 2014/4/11
漏洞发布日期: 2014/4/14
参考资料信息
CVE: CVE-2014-2859, CVE-2014-2860, CVE-2014-2861, CVE-2014-2862, CVE-2014-2863, CVE-2014-2864, CVE-2014-2865, CVE-2014-2866, CVE-2014-2867, CVE-2014-2868, CVE-2014-2869, CVE-2014-2870, CVE-2014-2871, CVE-2014-2872, CVE-2014-2873, CVE-2014-2874
BID: 66813