製品・ソフトウェアに関する情報

JVN脆弱性詳細

IBM WAS などで使用される IBM FileNet Content Manager におけるアクセス権を取得される脆弱性

Title	IBM WAS などで使用される IBM FileNet Content Manager におけるアクセス権を取得される脆弱性
Summary	IBM WebSphere Application Server (WAS) および Oracle BEA WebLogic Application Server で使用される IBM FileNet Content Manager は、CE Web Services リスナーが特定の WSEAF 設定を有する際、キャッシュされた Subject の使用を適切に制限しないため、新しい認証されたユーザの資格情報を持つアクセス権を取得される脆弱性が存在します。
Possible impacts	第三者により、新しい認証されたユーザの資格情報を持つアクセス権を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 4, 2009, midnight
Registration Date	Sept. 25, 2012, 5:27 p.m.
Last Update	Sept. 25, 2012, 5:27 p.m.

Affected System

オラクル

weblogic application server

IBM

FileNet Content Manager 4.0、4.0.1、および 4.5

IBM WebSphere Application Server

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1953	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1953
National Vulnerability Database (NVD)
2	CVE-2009-1953	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1953

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
IBM
1	1389281	http://www-01.ibm.com/support/docview.wss?uid=swg21389281
Oracle
2	Top Page	http://www.oracle.com/index.html

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-1953

Summary	IBM FileNet Content Manager 4.0, 4.0.1, and 4.5, as used in IBM WebSphere Application Server (WAS) and Oracle BEA WebLogic Application Server, when the CE Web Services listener has a certain WSEAF configuration, does not properly restrict use of a cached Subject, which allows remote attackers to obtain access with the credentials of a recently authenticated user via unspecified vectors.
Summary	IBM FileNet Content Manager v4.0, v4.0.1, y 4.5, usado en IBM WebSphere Application Server (WAS) y Oracle BEA WebLogic Application Server, cuando el "listener" (aplicación a la escucha)CE Web Services tiene una configuración WSEAF determinada, no restringe adecuadamente el uso de un "Subject" cacheado, lo que permite a atacantes remotos obtener acceso con credenciales de usuarios autenticados recientemente, a través de vectores no especificados.
Publication Date	June 8, 2009, 10 a.m.
Registration Date	Jan. 29, 2021, 1:19 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:ibm:filenet_content_manager:4.0:::::::*
cpe:2.3:a:ibm:filenet_content_manager:4.0.1:::::::*
cpe:2.3:a:ibm:filenet_content_manager:4.5:::::::*

Related information, measures and tools

No	URL	refsource
1	http://secunia.com/advisories/35347	cve@mitre.org
2	http://www-01.ibm.com/support/docview.wss?uid=swg21389281	cve@mitre.org
3	http://www.securityfocus.com/bid/35228	cve@mitre.org
4	http://www.vupen.com/english/advisories/2009/1512	cve@mitre.org
5	http://secunia.com/advisories/35347	af854a3a-2127-422b-91ae-364da2661108
6	http://www-01.ibm.com/support/docview.wss?uid=swg21389281	af854a3a-2127-422b-91ae-364da2661108
7	http://www.securityfocus.com/bid/35228	af854a3a-2127-422b-91ae-364da2661108
8	http://www.vupen.com/english/advisories/2009/1512	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html