多個 Adobe 產品 XML 外部實體 (XXE) 插入 (APSB10-05)

medium Nessus Plugin ID 44937

Synopsis

遠端主機容易遭受 XML 外部實體 (XXE) 攻擊。

描述

遠端主機似乎正在執行容易遭受 XML 外部實體 (XXE) 攻擊的 Adobe 產品。已安裝的產品版本無法在使用 HTTPChannel 以 AMFX 格式傳輸資料時封鎖外部 XML 實體的使用。未經驗證的遠端攻擊者可惡意利用此弱點,藉此從遠端系統讀取任意檔案。

根據 Adobe 公告,已知 Adobe BlazeDS、LiveCycle、LiveCycle Data Services、Flex Data Services 和 ColdFusion 受到此問題影響。

解決方案

套用供應商提供的適當修補程式。

另請參閱

http://www.nessus.org/u?6688a1e2

https://seclists.org/bugtraq/2010/Feb/197

https://www.adobe.com/support/security/bulletins/apsb10-05.html

Plugin 詳細資訊

嚴重性: Medium

ID: 44937

檔案名稱: adobe_multiple_products_xxe.nasl

版本: 1.27

類型: remote

系列: CGI abuses

已發布: 2010/3/1

已更新: 2022/4/11

組態: 啟用徹底檢查

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.7

媒介: AV:N/AC:M/Au:N/C:P/I:N/A:N

時間媒介: E:H/RL:OF/RC:C

CVSS 評分資料來源: CVE-2009-3960

弱點資訊

CPE: cpe:/a:adobe:lifecycle, cpe:/a:adobe:lifecycle_data_services, cpe:/a:adobe:flex_data_services, cpe:/a:adobe:coldfusion, cpe:/a:adobe:blazeds

可被惡意程式利用: true

可輕鬆利用: Exploits are available

由 Nessus 利用: true

修補程式發佈日期: 2010/2/11

弱點發布日期: 2010/2/11

CISA 已知利用日期: 2022/9/7

惡意利用途徑

CANVAS (D2ExploitPack)

Elliot (Adobe XML External Entity File Disclosure)

參考資訊

CVE: CVE-2009-3960

BID: 38197

EDB-ID: 11529

SECUNIA: 38543