ADC

Signaturupdate Version 39

Für die in der Woche 2019-12-19 identifizierten Schwachstellen werden neue Signaturregeln generiert. Sie können diese Signaturregeln herunterladen und konfigurieren, um Ihre Appliance vor Angriffen mit Sicherheitslücken zu schützen.

Signaturversion

Die Signaturversion 39 ist mit den folgenden Softwareversionen von Citrix Application Delivery Controller (ADC) 11.1, 12.0, 12.1, 13.0 und 13.1 kompatibel.

NetScaler ADC Version 12.0 hat das Ende der Lebensdauer (EOL) erreicht. Weitere Informationen finden Sie auf der Seite zum Release-Lebenszyklus .

Hinweis:

Das Aktivieren der Signaturregeln für Post Body und Response Body kann sich auf die Citrix ADC CPU auswirken.

Überblick über Common Vulnerability Entry (CVE)

Im Folgenden finden Sie eine Liste der Signaturregeln, CVE-IDs und deren Beschreibung.

Signaturregel HÖHLEN-ID Beschreibung
999760   WEB-MISC FusionPBX-Versionen vor 4.4.7 und 4.5.5 — Sicherheitslücke bei Remotecodeausführung über /app/exec/exec.php
999761 CVE-2019-12747 WEB-MISC Typo3 vor 8.7.27 und 9.5.8 — Deserialisierung nicht vertrauenswürdiger Daten (CVE-2019-12747)
999762 CVE-2019-13608 WEB-MISC Citrix StoreFront Server — Sicherheitsrisiko durch Einschleusung externer XML-Entitäten (CVE-2019-13608)
999763   WEB-WORDPRESS WordPress vor 5.2.4 - Nicht authentifizierte Ansicht von privaten oder entworfenen Beiträgen/Seiten Sicherheitslücke über FORM
999764   WEB-WORDPRESS WordPress vor 5.2.4 - Nicht authentifizierte Ansicht von privaten oder entworfenen Beiträgen/Seiten Sicherheitslücke über URL
999765 CVE-2019-15954 WEB-MISC Total.js CMS 12.0.0 — Sicherheitsanfälligkeit durch Widget-JavaScript-Codeeinschleusung über JSON (CVE-2019-15954)
999766 CVE-2019-15954 WEB-MISC Total.js CMS 12.0.0 — Sicherheitsanfälligkeit in Widget-JavaScript-Codeeinschleusung über FORM (CVE-2019-15954)
999767   Web-Wordpress SyntaxHighlighter Evolved Plug-in vor 5.3.1 — Cross-Site-Scripting Sicherheitsrisiko über Kommentare
999768   Web-WORDPRESS SyntaxHighlighter Evolved Plug-in vor 5.3.1 — Cross-Site-Scripting-Sicherheitsrisiko über POST
999769   WEB-WORDPRESS SyntaxHighlighter Evolved plug-in Prior To 5.3.1 - Cross-Site Scripting-Sicherheitsrisiko über JSON
999770 CVE-2019-16120 WEB-WORDPRESS Event Tickets plug-in Before 4.10.7.2 - CSV-Einschleusungssicherheitsrisiko (CVE-2019-16120)
999771 CVE-2019-15029 WEB-MISC FusionPBX vor 4.4.8 — Sicherheitsrisiko durch Remotecodeausführung (CVE-2019-15029)
999772   WEB-WORDPRESS Sassy Social Share-Plug-in vor 3.3.4 — Nicht authentifizierte Cross-Site-Scripting-Sicherheitsrisiko
999773   WEB-WORDPRESS Plug-in für E-Mail-Abonnenten und Newsletter Version 4.3.1 und früher — nicht authentifiziertes blindes SQLi-Sicherheitsrisiko
999774 CVE-2019-3398 WEB-MISC Atlassian Confluence oder Data Center - downloadallattachments Path Traversal Vulnerability (CVE-2019-3398)
999775 CVE-2019-15952 WEB-MISC Total.js CMS 12.0.0 — Sicherheitsrisiko durch Pfaddurchquerung in Seitenvorlagen (CVE-2019-15952)
999776 CVE-2019-17236 WEB-WORDPRESS IgniteUp Coming Soon und Maintenance Mode-Plug-in bis zu 3.4.0 - Gespeichertes Cross-Site Scripting (CVE-2019-17236)
999777 CVE-2019-10475 WEB-MISC Jenkins Build-Metrics Plug-in 1.3 — Reflektierte Cross-Site Scripting-Schwachstelle (CVE-2019-10475)
999778 CVE-2019-17132 WEB-MISC vBulletin vor 5.5.4 Patch-Ebene 2 — UpdateAvatar-API-Endpunkt-Schwachstelle bei Remotecodeausführung (CVE-2019-17132)
999779 CVE-2019-14994 WEB-MISC Atlassian Jira Service Desk — Schwachstelle durch Pfaddurchquerung (CVE-2019-14994)
999780 CVE-2019-19367 WEB-MISC FusionPBX 4.4.1 und früher — Standortübergreifende Scripting-Schwachstelle (CVE-2019-19367)
999781 CVE-2019-18668 WEB-WORDPRESS Currency Switcher-Plug-In vor 2.11.2 - Sicherheitsanfälligkeit durch Währungseinstellung umgehen über POST (CVE-2019-18668)
999782 CVE-2019-18668 WEB-WORDPRESS Currency Switcher-Plug-In vor 2.11.2 - Sicherheitslücke durch Währungseinstellung umgehen über GET (CVE-2019-18668)
999783 CVE-2019-16663 WEB-MISC RConfig 3.9.2 und früher - Sicherheitsanfälligkeit bei Remotecodeausführung über Search.crud.php (CVE-2019-16663)
999784   WEB-MISC Apache Solr Bis zu 8.3.0 - Nicht authentifizierte Remotecodeausführung über benutzerdefinierte VelocityResponseWriter-Vorlage
999785 CVE-2019-17235 WEB-WORDPRESS IgniteUp kommt bald und Wartungsmodus-Plug-in bis zu 3.4.0 - Offenlegung von Informationen über CSV (CVE-2019-17235)
999786 CVE-2019-17235 WEB-WORDPRESS IgniteUp kommt bald und Wartungsmodus-Plug-in bis zu 3.4.0 - Offenlegung von Informationen über Bcc (CVE-2019-17235)
999787 CVE-2019-12276 WEB-MISC GrandNode 4.40 - LetsEncryptController-Pfad-Traversal-Verwundbarkeit (CVE-2019-12276)
999788   WEB-WORDPRESS Plug-in für E-Mail-Abonnenten und Newsletter vor Version 4.2.3 — Offenlegung nicht authentifizierter Informationen
999789 CVE-2019-4013 WEB-MISC IBM BigFix Platform 9.5 — Authenticated Arbitry-Datei-Upload mit Root-Rechten (CVE-2019-4013)
999790 CVE-2019-11409 WEB-MISC FusionPBX Version 4.4.3 und früher — Remotecodeausführung über /app/basic_operator_panel/exec.php (CVE-2019-11409)
999791 CVE-2019-11409 WEB-MISC FusionPBX Version 4.4.3 und früher — Remotecodeausführung über /app/operator_panel/exec.php (CVE-2019-11409)
999792 CVE-2019-16662 WEB-MISC RConfig 3.9.2 und früher - Nicht authentifizierte Remotecodeausführung über AjaxServerSettingsChk.php (CVE-2019-16662)
999793 CVE-2019-7609 WEB-MISC Elastic Kibana vor 5.6.15 und 6.6.1 — Sicherheitsanfälligkeit durch Prototyp-Verschmutzung ermöglicht nicht authentifizierten RCE (CVE-2019-7609)
999794 CVE-2019-10092 WEB-MISC Apache-HTTP-Server bis zu 2.4.39 - mod_proxy Begrenztes Cross-Site-Scripting (CVE-2019-10092)
999795 CVE-2019-16520 WEB-WORDPRESS All-in-One-SEO-Pack-Plug-In vor 3.2.7 — Gespeicherte Cross-Site-Scripting-Schwachstelle (CVE-2019-16520
999796 CVE-2019-17234 WEB-WORDPRESS IgniteUp kommt bald und Wartungsmodus-Plug-in bis 3.4.0 - Beliebiges Löschen von Dateien (CVE-2019-17234)
999797 CVE-2019-16525 WEB-WORDPRESS-Checklisten-Plug-in vor Version 1.1.9 — Sicherheitsanfälligkeit für Cross-Site Scripting (CVE-2019-16525)
999798   Sicheres SVG-Plug-In für WEB-WORDPRESS vor 1.9.6 - Sicherheitslücke Cross-Site Scripting
999799   WEB-WORDPRESS Plug-in für E-Mail-Abonnenten und Newsletter vor Version 4.2.3 - Erstellung willkürlicher Optionen ohne Authentifizierung
Signaturupdate Version 39