Adobe Document Server for Reader Extensions < 6.1 多個弱點
high Nessus Plugin ID 21220
語系:
概要
遠端 Web 伺服器受到多個瑕疵的影響。說明
遠端主機正在執行 Adobe Document Server,這是一個可動態建立及操控 PDF 文件和圖形影像的伺服器。遠端主機上安裝的 Adobe Document Server 版本包含 Adobe Document Server for Reader Extensions 元件,其本身受到數個問題影響:
- 缺少存取控制,經驗證的使用者可透過操控「actionID」和「pageID」參數來存取其不應具有存取權的功能。
- 跨網站指令碼瑕疵,應用程式未清理數個參數的輸入內容便將其用於產生動態 Web 內容。
-資訊洩漏問題,應用程式會在 Referer 標頭中洩漏使用者的工作階段 ID,進而導致機密性喪失。此外,應用程式會在驗證嘗試失敗時傳回不同的錯誤訊息,攻擊者可利用此問題來列舉使用者。
解決方案
升級至 Adobe Document Server for Reader Extensions 6.1 / LiveCycle Reader Extensions 7.0 或更新版本。另請參閱
https://secuniaresearch.flexerasoftware.com/secunia_research/2005-68/advisory/
http://www.nessus.org/u?81de277d
Plugin 詳細資訊
嚴重性: High
ID: 21220
檔案名稱: adobe_document_server_61.nasl
版本: 1.28
類型: remote
系列: CGI abuses
已發布: 2006/4/14
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.3
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 7.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: cpe:/a:adobe:document_server
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2006/4/11
弱點發布日期: 2006/4/13
參考資訊
CVE: CVE-2006-1627, CVE-2006-1785, CVE-2006-1786, CVE-2006-1787, CVE-2006-1788
BID: 17500