Lucee Server
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.89189
Распределение по критичности
Критический
2
Высокий
0
Средний
1
Низкий
0
Затронутые диапазоны версий
5.3.5.00–5.3.5.965.4.0.0–5.4.3.2
Также сопоставлено как (исходные строки): lucee_server
Топ уязвимостей
CVE-2023-38693Lucee Server (или просто Lucee) является динамическим, основанным на Java, языком тегов и скриптов, используемым для быстрого веб-разработки. Конечная точка Lucee REST уязвима к RCE через атаку XML XXE. Эта уязвимость исправлена в Lucee 5.4.3.2, 5.3.12.1, 5.3.7.59, 5.3.8.236 и 5.3.9.173.
CVE-2021-21307Lucee Server — это динамический язык тегов и сценариев на основе Java (JSR-223), используемый для быстрой разработки веб-приложений. В Lucee Admin версий до 5.3.7.47, 5.3.6.68 или 5.3.5.96 существует неаутентифицированный эксплойт удаленного кода. Это исправлено в версиях 5.3.7.47, 5.3.6.68 или 5.3.5.96. В качестве обходного пути можно заблокировать доступ к Lucee Administrator.
CVE-2023-53880Lucee 5.4.2.17 содержит отраженную уязвимость кросс-сайтов, которая позволяет аутентифицированным злоумышленникам вводить вредоносные скрипты через параметры административного интерфейса. Злоумышленники могут создавать определенные полезные нагрузки, нацеленные на админ-страницы, такие как server.cfm и web.cfm, для выполнения произвольных JavaScript в сеансах браузера жертвы.