製品・ソフトウェアに関する情報
Vulnerability Search
Horde などにおけるディレクトリトラバーサルの脆弱性
Title Horde などにおけるディレクトリトラバーサルの脆弱性
Summary

Horde、Groupware および Groupware Webmail Edition には、特定の設定を使って稼動している際、ディレクトリトラバーサルの脆弱性が存在します。

Possible impacts リモート認証されたユーザにより、テーマ名の Null バイトおよび .. (ドットドット) を含むシーケンスを介して、任意のファイルを読まれる、および実行される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date March 7, 2008, midnight
Registration Date Sept. 25, 2012, 4:59 p.m.
Last Update Sept. 25, 2012, 4:59 p.m.
CVSS2.0 : 警告
Score 6
Vector AV:N/AC:M/Au:S/C:P/I:P/A:P
Affected System
Horde
Horde 3.1.6
Horde Groupware 1.0.5 未満
Horde Groupware Webmail Edition 1.0.6 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2008-1284
Summary

Directory traversal vulnerability in Horde 3.1.6, Groupware before 1.0.5, and Groupware Webmail Edition before 1.0.6, when running with certain configurations, allows remote authenticated users to read and execute arbitrary files via ".." sequences and a null byte in the theme name.

Publication Date March 11, 2008, 9:44 a.m.
Registration Date Jan. 29, 2021, 1:33 p.m.
Last Update Oct. 12, 2018, 5:31 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:horde:groupware:*:*:*:*:*:*:*:* 1.0.4
cpe:2.3:a:horde:groupware_webmail_edition:*:*:*:*:*:*:*:* 1.0.5
cpe:2.3:a:horde:horde:3.1.6:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List