| Title | Adobe ColdFusion および LiveCycle Data Services で使用される Adobe BlazeDS における HTTP トラフィックをイントラネットサーバへ送信される脆弱性 |
|---|---|
| Summary | Adobe ColdFusion および LiveCycle Data Services で使用される Adobe BlazeDS には、サーバサイドのリクエストフォージェリ (SSRF) の問題に関する処理に不備があるため、HTTP トラフィックをイントラネットサーバへ送信される脆弱性が存在します。 |
| Possible impacts | 第三者により、巧妙に細工された XML ドキュメントを介して、HTTP トラフィックをイントラネットサーバへ送信される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Nov. 17, 2015, midnight |
| Registration Date | Nov. 20, 2015, 3:01 p.m. |
| Last Update | March 24, 2016, 5:24 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| アドビシステムズ |
| Adobe ColdFusion 10 アップデート 18 未満の 10 |
| Adobe ColdFusion 11 アップデート 7 未満の 11 |
| Adobe LiveCycle Data Services 3.0.0.354175 未満の 3.0.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 3.1.0.354180 未満の 3.1.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 4.5.1.354177 未満の 4.5.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 4.6.2.354178 未満の 4.6.2.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 4.7.0.354178 未満の 4.7.x (Windows/Macintosh/Unix) |
| 日立 |
| Hitachi Automation Director |
| Hitachi Compute Systems Manager Software (海外版) |
| Hitachi Compute Systems Manager Software (国内版) |
| Hitachi Device Manager Software |
| Hitachi IT Operations Director |
| Job Management Partner 1/Automatic Operation |
| Job Management Partner 1/IT Desktop Management 2 - Manager |
| Job Management Partner 1/IT Desktop Management - Manager |
| JP1/Automatic Operation |
| JP1/IT Desktop Management 2 - Manager |
| JP1/IT Desktop Management - Manager |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2015年11月20日] 掲載 [2016年02月15日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (HS16-005) を追加 [2016年02月22日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (HS16-007) を追加 [2016年03月24日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (HS16-009) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Adobe BlazeDS, as used in ColdFusion 10 before Update 18 and 11 before Update 7 and LiveCycle Data Services 3.0.x before 3.0.0.354175, 3.1.x before 3.1.0.354180, 4.5.x before 4.5.1.354177, 4.6.2.x before 4.6.2.354178, and 4.7.x before 4.7.0.354178, allows remote attackers to send HTTP traffic to intranet servers via a crafted XML document, related to a Server-Side Request Forgery (SSRF) issue. |
|---|---|
| Publication Date | Nov. 19, 2015, 6:59 a.m. |
| Registration Date | Jan. 26, 2021, 2:52 p.m. |
| Last Update | Nov. 21, 2024, 11:32 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:hp:xp7_command_view_advanced_edition:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:hp:xp_p9000_command_view_advanced_edition:-:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:adobe:coldfusion:*:update17:*:*:*:*:*:* | 10.0 | ||||
| cpe:2.3:a:adobe:coldfusion:*:update6:*:*:*:*:*:* | 11.0 | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:adobe:livecycle_data_services:4.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:livecycle_data_services:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:livecycle_data_services:4.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:livecycle_data_services:4.5:*:*:*:*:*:*:* | |||||