Sun Java System ASP Server < 4.0.3 多個弱點
high Nessus Plugin ID 33440
語系:
概要
The remote web server is affected by several vulnerabilities.說明
遠端主機正在執行 Sun Java System Active Server Pages (ASP) 或較早版本,比如 Sun ONE ASP 或 Chili!Soft ASP。遠端主機上安裝之 Active Server Pages 版本的 Web 伺服器元件受到數個弱點影響:
- 管理伺服器的若干 ASP 應用程式在殼層內執行使用者輸入內容前未篩選或逸出這些輸入內容就將其用於產生命令。
儘管在名義上需要通過驗證才能存取這些應用程式,但據報告現有若干方法可以繞過驗證。(CVE-2008-2405)
- 攻擊者可直接連線至應用程式伺服器並提出要求,藉此繞過管理伺服器的驗證。此問題不會影響 Windows 平台上的 ASP Server (CVE-2008-2406)。
解決方案
Upgrade to Sun Java System ASP version 4.0.3 or later.另請參閱
http://www.nessus.org/u?d90b8781
http://www.nessus.org/u?54eb5bc5
https://seclists.org/bugtraq/2008/Jun/30
Plugin 詳細資訊
嚴重性: High
ID: 33440
檔案名稱: sun_asp_cmd_injection.nasl
版本: 1.22
類型: remote
系列: Web Servers
已發布: 2008/7/8
已更新: 2020/8/5
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.8
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
可輕鬆利用: No known exploits are available
由 Nessus 利用: true
修補程式發佈日期: 2008/6/3
參考資訊
CVE: CVE-2008-2405, CVE-2008-2406