製品・ソフトウェアに関する情報

JVN脆弱性詳細

WoW Raid Manager の auth/auth_phpbb3.php における認証を回避される脆弱性

Title	WoW Raid Manager の auth/auth_phpbb3.php における認証を回避される脆弱性
Summary	WoW Raid Manager の auth/auth_phpbb3.php の password_check 関数は、PHPBB3 認証が使用されている際、以下の不備があるため、認証を回避される、および任意のパスワードで権限を取得される脆弱性が存在します。 (1) 必須の引数と共に CheckPassword 関数を呼び出さないため、認証失敗を発生させる (2) 認証失敗が発生する場合、false の代わりに true を返す
Possible impacts	第三者により、認証を回避される、および任意のパスワードで権限を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 13, 2008, midnight
Registration Date	Dec. 20, 2012, 7:10 p.m.
Last Update	Dec. 20, 2012, 7:10 p.m.

Affected System

wowraidmanager

wowraidmanager Patch 1 未満の 3.5.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-7050	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-7050
National Vulnerability Database (NVD)
2	CVE-2008-7050	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-7050

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html

ベンダー情報

No	Name	URL
wowraidmanager
1	Official Patch: 3.5.1 Patch 1	http://www.wowraidmanager.net/e107_plugins/forum/forum_viewtopic.php?2167

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-7050

Summary	The password_check function in auth/auth_phpbb3.php in WoW Raid Manager 3.5.1 before Patch 1, when using PHPBB3 authentication, (1) does not invoke the CheckPassword function with the required arguments, which always triggers an authentication failure, and (2) returns true instead of false when an authentication failure occurs, which allows remote attackers to bypass authentication and gain privileges with an arbitrary password.
Publication Date	Aug. 24, 2009, 7:30 p.m.
Registration Date	Jan. 29, 2021, 1:51 p.m.
Last Update	Aug. 24, 2009, 7:30 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.0:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.1:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.2:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.2.0:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.2.1:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.5.0:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager::::::::		3.5.1

Related information, measures and tools

No	URL	refsource	タグ
1	http://github.com/Illydth/wowraidmanager/commit/7dd6367ae85003dd5d715431b6ab695f2c2f200a	MISC	Exploit
2	http://secunia.com/advisories/32653	SECUNIA	Vendor Advisory
3	http://www.osvdb.org/49704	OSVDB
4	http://www.vupen.com/english/advisories/2008/3109	VUPEN	Patch Vendor Advisory
5	http://www.wowraidmanager.net/e107_plugins/forum/forum_viewtopic.php?2153	CONFIRM	Vendor Advisory
6	http://www.wowraidmanager.net/e107_plugins/forum/forum_viewtopic.php?2167	CONFIRM	Patch Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-255	証明書・パスワード管理	https://cwe.mitre.org/data/definitions/255.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.0:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.1:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.2:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.2.0:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.2.1:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager:3.5.0:::::::*
cpe:2.3:a:wowraidmanager:wowraidmanager::::::::		3.5.1