| タイトル | Adobe ColdFusion および LiveCycle Data Services で使用される Adobe BlazeDS における HTTP トラフィックをイントラネットサーバへ送信される脆弱性 |
|---|---|
| 概要 | Adobe ColdFusion および LiveCycle Data Services で使用される Adobe BlazeDS には、サーバサイドのリクエストフォージェリ (SSRF) の問題に関する処理に不備があるため、HTTP トラフィックをイントラネットサーバへ送信される脆弱性が存在します。 |
| 想定される影響 | 第三者により、巧妙に細工された XML ドキュメントを介して、HTTP トラフィックをイントラネットサーバへ送信される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2015年11月17日0:00 |
| 登録日 | 2015年11月20日15:01 |
| 最終更新日 | 2016年3月24日17:24 |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| アドビシステムズ |
| Adobe ColdFusion 10 アップデート 18 未満の 10 |
| Adobe ColdFusion 11 アップデート 7 未満の 11 |
| Adobe LiveCycle Data Services 3.0.0.354175 未満の 3.0.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 3.1.0.354180 未満の 3.1.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 4.5.1.354177 未満の 4.5.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 4.6.2.354178 未満の 4.6.2.x (Windows/Macintosh/Unix) |
| Adobe LiveCycle Data Services 4.7.0.354178 未満の 4.7.x (Windows/Macintosh/Unix) |
| 日立 |
| Hitachi Automation Director |
| Hitachi Compute Systems Manager Software (海外版) |
| Hitachi Compute Systems Manager Software (国内版) |
| Hitachi Device Manager Software |
| Hitachi IT Operations Director |
| Job Management Partner 1/Automatic Operation |
| Job Management Partner 1/IT Desktop Management 2 - Manager |
| Job Management Partner 1/IT Desktop Management - Manager |
| JP1/Automatic Operation |
| JP1/IT Desktop Management 2 - Manager |
| JP1/IT Desktop Management - Manager |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年11月20日] 掲載 [2016年02月15日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (HS16-005) を追加 [2016年02月22日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (HS16-007) を追加 [2016年03月24日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (HS16-009) を追加 |
2018年2月17日10:37 |
| 概要 | Adobe BlazeDS, as used in ColdFusion 10 before Update 18 and 11 before Update 7 and LiveCycle Data Services 3.0.x before 3.0.0.354175, 3.1.x before 3.1.0.354180, 4.5.x before 4.5.1.354177, 4.6.2.x before 4.6.2.354178, and 4.7.x before 4.7.0.354178, allows remote attackers to send HTTP traffic to intranet servers via a crafted XML document, related to a Server-Side Request Forgery (SSRF) issue. |
|---|---|
| 公表日 | 2015年11月19日6:59 |
| 登録日 | 2021年1月26日14:52 |
| 最終更新日 | 2024年11月21日11:32 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:hp:xp7_command_view_advanced_edition:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:hp:xp_p9000_command_view_advanced_edition:-:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:adobe:coldfusion:*:update17:*:*:*:*:*:* | 10.0 | ||||
| cpe:2.3:a:adobe:coldfusion:*:update6:*:*:*:*:*:* | 11.0 | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:adobe:livecycle_data_services:4.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:livecycle_data_services:3.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:livecycle_data_services:4.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:adobe:livecycle_data_services:4.5:*:*:*:*:*:*:* | |||||