製品・ソフトウェアに関する情報
Vulnerability Search
Kubix におけるディレクトリトラバーサルの脆弱性
Title Kubix におけるディレクトリトラバーサルの脆弱性
Summary

Kubix には、ディレクトリトラバーサルの脆弱性が存在します。

Possible impacts 第三者により、以下の可能性があります。 (1) index.php への theme クッキーの ".." シーケンスを介して、任意のローカルファイルをインクルードおよび実行される可能性 (2) adm_index.php への add_dl アクションの file パラメータの ".." シーケンスを介して、任意のファイルを読まれる可能性
Solution

参考情報を参照して適切な対策を実施してください。
Publication Date March 5, 2007, midnight
Registration Date Sept. 25, 2012, 3:36 p.m.
Last Update Sept. 25, 2012, 3:36 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
kubix
kubix 0.7 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2006-7117
Summary

Multiple directory traversal vulnerabilities in Kubix 0.7 and earlier allow remote attackers to (1) include and execute arbitrary local files via ".." sequences in the theme cookie to index.php, which is not properly handled by includes/head.php; and (2) read arbitrary files via ".." sequences in the file parameter in an add_dl action to adm_index.php, as demonstrated by reading connect.php.

Summary

Múltiples vulnerabilidades de salto de directorio en Kubix 0.7 y anteriores permiten a atacantes remotos (1) incluir y ejecutar archivos locales de su elección mediante secuencias .. (punto punto) en la cookie de tema (theme cookie) de index.php, las cuales no son manejadas adecuadamente por includes/head.php; y (2) leer archivos de su elección mediante secuencias .. (punto punto) en el parámetro file en una acción add_dl de adm_index.php, como se ha demostrado leyendo connect.php.

Publication Date March 6, 2007, 10:19 a.m.
Registration Date Jan. 29, 2021, 3:53 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:kubix:kubix:*:*:*:*:*:*:*:* 0.7
Related information, measures and tools
Common Vulnerabilities List