Sun Java System ASP Server < 4.0.3 多个漏洞
high Nessus 插件 ID 33440
语言:
简介
The remote web server is affected by several vulnerabilities.描述
远程主机正在运行 Sun Java System Active Server Pages (ASP) 或者 Sun ONE ASP 及 Chili!Soft ASP 等较早的变体。远程主机上已安装的 Active Server Pages 版本中的 Web 服务器组件受到数个漏洞的影响:
- 管理服务器的数个 ASP 应用程序未能在使用用户输入创建命令,并在 shell 中执行之前,先将其过滤或转义。
尽管在名义上需要经过身份验证才能访问这些应用程序,然而,据说有数种方式可以绕过身份验证 (CVE-2008-2405)。
- 攻击者可直接与应用程序服务器连接并提出请求,绕过管理服务器的身份验证。此问题不会影响 Windows 平台上的 ASP 服务器 (CVE-2008-2406)。
解决方案
Upgrade to Sun Java System ASP version 4.0.3 or later.另见
http://www.nessus.org/u?d90b8781
http://www.nessus.org/u?54eb5bc5
https://seclists.org/bugtraq/2008/Jun/30
插件详情
严重性: High
ID: 33440
文件名: sun_asp_cmd_injection.nasl
版本: 1.22
类型: remote
系列: Web Servers
发布时间: 2008/7/8
最近更新时间: 2020/8/5
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.8
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
易利用性: No known exploits are available
被 Nessus 利用: true
补丁发布日期: 2008/6/3
参考资料信息
CVE: CVE-2008-2405, CVE-2008-2406