製品・ソフトウェアに関する情報
Vulnerability Search
WeBWorK PG Language の lib/WeBWorK/PG/Translator.pm における dangerousMacros.pl などの文字列を含む名前を伴う任意のマクロを起動される脆弱性
Title WeBWorK PG Language の lib/WeBWorK/PG/Translator.pm における dangerousMacros.pl などの文字列を含む名前を伴う任意のマクロを起動される脆弱性
Summary

WeBWorK Program Generation (PG) Language の lib/WeBWorK/PG/Translator.pm は、制限が不十分な正規表現を用いて有効なマクロを特定するため、以下の文字列を含む名前を伴う任意のマクロを起動される脆弱性が存在します。 (1) dangerousMacros.pl (2) PG.pl (3) IO.pl

Possible impacts 第三者により、以下の文字列を含む名前を伴う任意のマクロを起動される可能性があります。 (1) dangerousMacros.pl (2) PG.pl (3) IO.pl
Solution

参考情報を参照して適切な対策を実施してください。
Publication Date Dec. 18, 2006, midnight
Registration Date Dec. 20, 2012, 6:02 p.m.
Last Update Dec. 20, 2012, 6:02 p.m.
CVSS2.0 : 危険
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
Affected System
webwork
program generation language 2.3.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2006-6629
Summary

lib/WeBWorK/PG/Translator.pm in WeBWorK Program Generation (PG) Language before 2.3.1 uses an insufficiently restrictive regular expression to determine valid macro filenames, which allows attackers to load arbitrary macro files whose names contain the strings (1) dangerousMacros.pl, (2) PG.pl, or (3) IO.pl.

Summary

This vulnerability is addressed in the following product release:
WeBWorK, Program Generation Language, 2.3.1

Publication Date Dec. 18, 2006, 8:28 p.m.
Registration Date Jan. 29, 2021, 3:52 p.m.
Last Update March 8, 2011, 11:46 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:webwork:program_generation_language:*:*:*:*:*:*:*:* 2.3
Related information, measures and tools
Common Vulnerabilities List