製品・ソフトウェアに関する情報

JVN脆弱性詳細

Freeway におけるディレクトリトラバーサルの脆弱性

Title	Freeway におけるディレクトリトラバーサルの脆弱性
Summary	Freeway には、register_globals が有効になっている際、ディレクトリトラバーサルの脆弱性が存在します。本問題は、CVE-2008-3677 と重複する可能性があります。
Possible impacts	第三者により、以下への .. (ドットドット) を含む language パラメータを介して、任意のローカルファイルをインクルードおよび実行される可能性があります。 (1) includes/languages/ 配下の includes/events_application_top.php (2) includes/languages/ 配下の english/account.php (3) includes/languages/ 配下の french/account.php (4) includes/languages/ 配下の french/account_newsletters.php (5) includes/modules/faqdesk/faqdesk_article_require.php (6) includes/modules/newsdesk/newsdesk_article_require.php (7) templates/Freeway/boxes/ 配下の card1.php (8) templates/Freeway/boxes/ 配下の loginbox.php (9) templates/Freeway/boxes/ 配下の whos_online.php (10) templates/Freeway/mainpage_modules/mainpage.php
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Aug. 22, 2008, midnight
Registration Date	Sept. 25, 2012, 5:17 p.m.
Last Update	Sept. 25, 2012, 5:17 p.m.

Affected System

openfreeway

freeway 1.4.1.171

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-3770	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3770
National Vulnerability Database (NVD)
2	CVE-2008-3770	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3770

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
openfreeway
1	Freeway 1.4.1.171	http://webscripts.softpedia.com/script/E-Commerce/Freeway-41450.html

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-3770

Summary	Multiple directory traversal vulnerabilities in Freeway 1.4.1.171, when register_globals is enabled, allow remote attackers to include and execute arbitrary local files via a .. (dot dot) in the language parameter to (1) includes/events_application_top.php; (2) english/account.php, (3) french/account.php, and (4) french/account_newsletters.php in includes/languages/; (5) includes/modules/faqdesk/faqdesk_article_require.php; (6) includes/modules/newsdesk/newsdesk_article_require.php; (7) card1.php, (8) loginbox.php, and (9) whos_online.php in templates/Freeway/boxes/; and (10) templates/Freeway/mainpage_modules/mainpage.php. NOTE: vector 1 may be the same as CVE-2008-3677.
Publication Date	Aug. 23, 2008, 1:41 a.m.
Registration Date	Jan. 29, 2021, 1:41 p.m.
Last Update	Oct. 12, 2018, 5:49 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:openfreeway:freeway:1.4.1.171:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://secunia.com/advisories/31475	SECUNIA	Vendor Advisory
2	http://securityreason.com/securityalert/4181	SREASON
3	http://www.openfreeway.org/download/change-log.html	CONFIRM
4	http://www.securityfocus.com/archive/1/495549/100/0/threaded	BUGTRAQ
5	http://www.securityfocus.com/bid/30731	BID	Exploit
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/45037	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html