製品・ソフトウェアに関する情報

JVN脆弱性詳細

TANDBERG Video Communication Server (VCS) が稼動している Web 管理インターフェースにおけるディレクトリトラバーサルの脆弱性

Title	TANDBERG Video Communication Server (VCS) が稼動している Web 管理インターフェースにおけるディレクトリトラバーサルの脆弱性
Summary	TANDBERG VCS が稼動している Web 管理インターフェースには、ディレクトリトラバーサルの脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、.. (ドットドット) を含む以下のパラメータを介して、任意のファイルを読まれる可能性があります。 (1) helppage.php への page パラメータ (2) user/helppage.php への page パラメータ
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 9, 2010, midnight
Registration Date	Dec. 20, 2012, 7:28 p.m.
Last Update	Dec. 20, 2012, 7:28 p.m.

Affected System

vsecurity

tandberg video communication server X5.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4511	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4511
National Vulnerability Database (NVD)
2	CVE-2009-4511	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4511

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
vsecurity
1	TANDBERG VCS Arbitrary File Retrieval	http://www.vsecurity.com/resources/advisory/20100409-3

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-4511

Summary	Multiple directory traversal vulnerabilities in the web administration interface on the TANDBERG Video Communication Server (VCS) before X5.1 allow remote authenticated users to read arbitrary files via a .. (dot dot) in the page parameter to (1) helppage.php or (2) user/helppage.php.
Publication Date	April 14, 2010, 2:30 a.m.
Registration Date	Jan. 29, 2021, 1:27 p.m.
Last Update	Oct. 11, 2018, 4:49 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x1.0.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x1.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x1.2.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x2.0.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x2.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x3.0.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x3.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x4.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x4.2.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x4.2.1:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server::::::::		x4.3.0

Related information, measures and tools

No	URL	refsource	タグ
1	http://secunia.com/advisories/39275	SECUNIA	Vendor Advisory
2	http://www.securityfocus.com/archive/1/510670/100/0/threaded	BUGTRAQ
3	http://www.vsecurity.com/resources/advisory/20100409-3	MISC	Patch Vendor Advisory

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x1.0.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x1.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x1.2.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x2.0.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x2.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x3.0.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x3.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x4.1.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x4.2.0:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server:x4.2.1:::::::*
cpe:2.3:a:vsecurity:tandberg_video_communication_server::::::::		x4.3.0