製品・ソフトウェアに関する情報
Vulnerability Search
Zomplog におけるファイルをダウンロードされる脆弱性
Title Zomplog におけるファイルをダウンロードされる脆弱性
Summary

Zomplog は、不十分なアクセスコントロールで、潜在的に重要な情報を Web ルート配下に格納するため、ファイルをダウンロードされる脆弱性が存在します。

Possible impacts 第三者により、ユーザにアップロードされたファイルをダウンロードされる可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Oct. 8, 2007, midnight
Registration Date Dec. 20, 2012, 6:33 p.m.
Last Update Dec. 20, 2012, 6:33 p.m.
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:P/I:N/A:N
Affected System
zomplog
zomplog 3.8.1 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-5278
Summary

Zomplog 3.8.1 and earlier stores potentially sensitive information under the web root with insufficient access control, which allows remote attackers to download files that were uploaded by users, as demonstrated by obtaining a directory listing via a direct request to /upload and then retrieving individual files. NOTE: in a non-default configuration, the directory listing is denied, but filenames may be predicable.

Summary

Zomplog 3.8.1 y anteriores almacena información potencialmente sensible bajo la raíz web con control de acceso insuficiente, lo cual permite a atacantes remotos descargar archivos que han sido enviados por los usuarios, como se ha demostrado obteniendo un listado de directorio mediante una petición directa de /upload y después recuperando archivos individuales. NOTA: en una configuración no por defecto, el listado de directorio está denegado, pero los nombres de archivo pueden ser predecibles.

Publication Date Oct. 9, 2007, 8:17 a.m.
Registration Date Jan. 29, 2021, 2:21 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:zomplog:zomplog:3.8.1:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List