Lotus Symphony で使用される Desktop の IBM Lotus Expeditor Client の rcplauncher の cai: URI ハンドラにおける任意のコードを実行される脆弱性
| Title |
Lotus Symphony で使用される Desktop の IBM Lotus Expeditor Client の rcplauncher の cai: URI ハンドラにおける任意のコードを実行される脆弱性
|
| Summary |
Lotus Symphony で使用される Desktop の IBM Lotus Expeditor Client の rcplauncher の cai: URI ハンドラは、引数の挿入により、任意のコードを実行される脆弱性が存在します。
|
| Possible impacts |
第三者により、-launcher オプションを挿入されることで、cai: URI を介して、任意のコードを実行される可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 25, 2008, midnight |
| Registration Date |
Sept. 25, 2012, 5:16 p.m. |
| Last Update |
Sept. 25, 2012, 5:16 p.m. |
|
CVSS2.0 : 危険
|
| Score |
9.3
|
| Vector |
AV:N/AC:M/Au:N/C:C/I:C/A:C |
Affected System
| IBM |
|
lotus expeditor client 6.1.1 および 6.1.2
|
|
lotus symphany
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年09月25日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2008-1965
| Summary |
Argument injection vulnerability in the cai: URI handler in rcplauncher in IBM Lotus Expeditor Client for Desktop 6.1.1 and 6.1.2, as used by Lotus Symphony and possibly other products, allows remote attackers to execute arbitrary code by injecting a -launcher option via a cai: URI, as demonstrated by a reference to a UNC share pathname.
|
| Publication Date |
April 26, 2008, 4:05 a.m. |
| Registration Date |
Jan. 29, 2021, 1:35 p.m. |
| Last Update |
Oct. 12, 2018, 5:38 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:ibm:lotus_expeditor_client:6.1.1:*:desktop:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:ibm:lotus_expeditor_client:6.1.2:*:desktop:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:ibm:lotus_symphany:*:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List