Oracle GlassFish Server 管理主控台 GET 要求驗證繞過
critical Nessus Plugin ID 55931
語系:
概要
遠端 web 伺服器有驗證繞過弱點,可能導致程式碼執行。說明
遠端主機上執行的 GlassFish Server 版本有驗證繞過弱點。伺服器無法對於包含小寫字符方法名稱 (例如「get」) 的 HTTP 要求進行驗證。未經驗證的遠端攻擊者可利用此弱點上傳並執行任意程式碼。
解決方案
升級至 GlassFish Server 3.1 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 55931
檔案名稱: glassfish_get_auth_bypass.nasl
版本: 1.18
類型: remote
系列: CGI abuses
已發布: 2011/8/17
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 8.1
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2011-0807
CVSS v3
風險因素: Critical
基本分數: 10
時間分數: 9
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:oracle:glassfish_server
必要的 KB 項目: www/glassfish, www/glassfish/console
可被惡意程式利用: true
可輕鬆利用: Exploits are available
由 Nessus 利用: true
修補程式發佈日期: 2011/4/20
弱點發布日期: 2011/4/19
可惡意利用
Metasploit (Sun/Oracle GlassFish Server Authenticated Code Execution)
參考資訊
CVE: CVE-2011-0807
BID: 47438