製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenPNE におけるアクセス制限回避の脆弱性

Title	OpenPNE におけるアクセス制限回避の脆弱性
Summary	OpenPNE には、アクセス制限回避が可能な脆弱性が存在します。 OpenPNE は、オープンソースの SNS (ソーシャルネットワーキングサービス)構築ソフトウェアです。OpenPNE には、携帯版ログイン画面へのアクセスを携帯電話からのみに制限するため、IP アドレス帯域制限機能があります。 OpenPNE には、IP アドレス帯域制限機能の処理に問題があり、アクセス制限回避が可能な脆弱性が存在します。結果として、携帯電話向けのかんたんログイン機能において、なりすましによるログインをされる可能性があります。上記製品において、携帯版を利用可能にしており、かつ IP アドレス帯域制限機能を有効にしている場合、本脆弱性の影響を受けます。開発者によると、本脆弱性に類似した別の問題として、OpenPNE 1.6 以降のすべてのバージョンにおいて、IP アドレス帯域制限が実装されていない、もしくは実装されていてもデフォルトで無効となっているという問題が存在するとのことです。この問題について、開発者から対策情報が公開されています。詳しくは開発者が提供する情報をご覧ください。注) "IP アドレス帯域" は、携帯電話各社が "IP アドレスの範囲" の意味で使用している用語です。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 高木浩光氏
Possible impacts	遠隔の第三者により、当該製品で管理している情報を閲覧されたり、変更されたりする可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとにアップデートしてください。 [ワークアラウンドを実施する] 開発者が提供する情報をもとにワークアラウンドを実施してください。
Publication Date	March 5, 2010, midnight
Registration Date	March 5, 2010, 3:01 p.m.
Last Update	March 11, 2010, 12:39 p.m.

CVSS2.0 : 警告
Score	5.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:N

Affected System

OpenPNEプロジェクト

OpenPNE 2.13.2 から 2.14.4 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-1040	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1040
National Vulnerability Database (NVD)
2	CVE-2010-1040	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1040

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
OpenPNE プロジェクト
1	4612	http://www.openpne.jp/archives/4612/

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	「OpenPNE」におけるセキュリティ上の弱点（脆弱性）の注意喚起	http://www.ipa.go.jp/security/vuln/alert/201003_openpne.html
JVN
2	JVN#06874657	http://jvn.jp/jp/JVN06874657/index.html
Secunia Advisory
3	SA38857	http://secunia.com/advisories/38857

Change Log

No	Changed Details	Date of change
0	[2010年03月05日] 掲載 [2010年03月11日] CVSSによる深刻度：基本値および基本評価基準を修正	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-1040

Summary	The "IP address range limitation" function in OpenPNE 1.6 through 1.8, 2.0 through 2.8, 2.10 through 2.14, and 3.0 through 3.4, when mobile device support is enabled, allows remote attackers to bypass the "simple login" functionality via unknown vectors related to spoofing.
Publication Date	March 24, 2010, 3:30 a.m.
Registration Date	Jan. 29, 2021, 10:58 a.m.
Last Update	March 24, 2010, 1 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:tejimaya:openpne:1.6:::::::*
cpe:2.3:a:tejimaya:openpne:1.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.8.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.6.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.6.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.9:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.10:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.11.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.8.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.4.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.4.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.5.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.9:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.10:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.11:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.12:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.13:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.13.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.3.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.5.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.9:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.10:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.11:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.12:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.13:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.14:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.14.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.15:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.16:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.17:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.17.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.18:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.14.0:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN06874657/index.html	JVN
2	http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-000006.html	JVNDB
3	http://secunia.com/advisories/38857	SECUNIA	Vendor Advisory
4	http://www.ipa.go.jp/security/vuln/alert/201003_openpne.html	MISC
5	http://www.openpne.jp/archives/4612/	CONFIRM	Vendor Advisory

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:tejimaya:openpne:1.6:::::::*
cpe:2.3:a:tejimaya:openpne:1.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.3.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.4.8.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.5.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.6.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.6.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.9:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.10:::::::*
cpe:2.3:a:tejimaya:openpne:2.6.11.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.7.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.8.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.4.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.4.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.5.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.9:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.10:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.11:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.12:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.13:::::::*
cpe:2.3:a:tejimaya:openpne:2.10.13.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.3.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.5.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.11.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.9:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.10:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.11:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.12:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.13:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.14:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.14.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.15:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.16:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.17:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.17.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.12.18:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.0:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.1:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.2:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.3:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.4:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.5:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.6:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.7:::::::*
cpe:2.3:a:tejimaya:openpne:2.13.8:::::::*
cpe:2.3:a:tejimaya:openpne:2.14.0:::::::*