| Title | Papoo CMS におけるデータベース全体を読まれる脆弱性 |
|---|---|
| Summary | Papoo CMS は、パックエンド管理プラグインへアクセスする際ユーザの権限を確認しないため、(1) データベース全体を読まれる、(2) プラグインを作成される、(3) プラグインを削除される、(4) デバッグモードを有効にされるなど、不特定の影響を受ける脆弱性が存在します。 |
| Possible impacts | リモート認証されたユーザにより、interna/plugin.php への template パラメータ内の devtools/templates/newdump_backend.html 引数を介して、データベースバックアッププラグインにアクセスされることで、(1) データベース全体を読まれる、(2) プラグインを作成される、(3) プラグインを削除される、(4) デバッグモードを有効にされるなど、不特定の影響を受ける可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | June 29, 2007, midnight |
| Registration Date | Sept. 25, 2012, 4:47 p.m. |
| Last Update | Sept. 25, 2012, 4:47 p.m. |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:C/I:N/A:N |
| Papoo Software |
| papoo 3.6 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年09月25日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Papoo CMS 3.6, and possibly earlier, does not verify user privileges when accessing the backend administration plugins, which allows remote authenticated users to (1) read the entire database by accessing the database backup plugin via a devtools/templates/newdump_backend.html argument in the template parameter to interna/plugin.php, (2) create plugins, (3) remove plugins, (4) enable debug mode, and have other unspecified impact. |
|---|---|
| Publication Date | June 30, 2007, 3:30 a.m. |
| Registration Date | Jan. 29, 2021, 2:15 p.m. |
| Last Update | Oct. 17, 2018, 1:50 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:papoo:papoo:*:*:*:*:*:*:*:* | 3.6 | ||||