製品・ソフトウェアに関する情報
Vulnerability Search
Red Hat Network Satellite およびその他の製品の Spacewalk におけるクロスサイトリクエストフォージェリの脆弱性
Title Red Hat Network Satellite およびその他の製品の Spacewalk におけるクロスサイトリクエストフォージェリの脆弱性
Summary

Red Hat Network Satellite およびその他の製品の Spacewalk の Spacewalk Java サイトパッケージ (spacewalk-java) には、任意のユーザの認証を乗っ取られ、管理者権限で (1) アカウントの停止、(2) アカウントの追加、(3) ユーザアカウントの変更を行われるクロスサイトリクエストフォージェリの脆弱性が存在します。

Possible impacts 第三者により、任意のユーザの認証を乗っ取られ、管理者権限を介して、(1) アカウントの停止、(2) アカウントの追加、(3) ユーザアカウントの変更を行われる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date June 16, 2011, midnight
Registration Date March 27, 2012, 6:42 p.m.
Last Update March 27, 2012, 6:42 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
レッドハット
network satellite server 5.3.0 から 5.4.1
spacewalk-java 1.2.39
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年03月27日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-4139
Summary

Cross-site request forgery (CSRF) vulnerability in the Spacewalk Java site packages (aka spacewalk-java) 1.2.39 in Spacewalk, as used in the server in Red Hat Network Satellite 5.3.0 through 5.4.1 and other products, allows remote attackers to hijack the authentication of arbitrary users for requests that (1) disable the current user account, (2) add user accounts, or (3) modify user accounts to have administrator privileges.

Publication Date July 27, 2011, 11:55 a.m.
Registration Date Jan. 29, 2021, 1:26 p.m.
Last Update Nov. 21, 2024, 10:09 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:redhat:network_satellite_server:5.4.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:network_satellite_server:5.3.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:network_satellite_server:5.4.1:*:*:*:*:*:*:*
cpe:2.3:a:redhat:spacewalk-java:1.2.39:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List