製品・ソフトウェアに関する情報

JVN脆弱性詳細

Tiki Wiki CMS Groupware における SQL インジェクションの脆弱性

Title	Tiki Wiki CMS Groupware における SQL インジェクションの脆弱性
Summary	Tiki Wiki CMS Groupware (Tiki) は、コンテンツ管理システム (CMS) です。Tiki には、SQL インジェクションの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: bogus.jp 東内裕二氏
Possible impacts	当該製品が参照しているデータベース上で任意の SQL コマンドを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 [ワークアラウンドを実施する] アップデートを適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - feature_search_fulltext (MySQL 全文検索) を無効にする - tiki-searchresults.php ファイルをウェブサーバ上から削除する
Publication Date	Nov. 5, 2013, midnight
Registration Date	Nov. 5, 2013, 2:03 p.m.
Last Update	Nov. 7, 2013, 5:57 p.m.

Affected System

Tiki Software Community Association

Tiki Wiki CMS Groupware 10.4 より前のバージョン

Tiki Wiki CMS Groupware 11.1 より前のバージョン

Tiki Wiki CMS Groupware 6.13LTS より前のバージョン

Tiki Wiki CMS Groupware 9.7LTS より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-4715	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4715
National Vulnerability Database (NVD)
2	CVE-2013-4715	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4715

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	Name	URL
Tikiwiki
1	New-Versions-of-all-supported-versions-of-Tiki-Wiki-CMS-Groupware	http://info.tiki.org/article221-New-Versions-of-all-supported-versions-of-Tiki-Wiki-CMS-Groupware
2	Tiki Download	https://info.tiki.org/Download

その他

No	Name	URL
JVN
1	JVN#75720314	http://jvn.jp/jp/JVN75720314/index.html

Change Log

No	Changed Details	Date of change
0	[2013年11月05日] 掲載 [2013年11月07日] 参考情報：National Vulnerability Database (NVD) (CVE-2013-4715) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-4715

Summary	SQL injection vulnerability in Tiki Wiki CMS Groupware 6 LTS before 6.13LTS, 9 LTS before 9.7LTS, 10.x before 10.4, and 11.x before 11.1 allows remote attackers to execute arbitrary SQL commands via unspecified vectors.
Publication Date	Nov. 7, 2013, 12:55 a.m.
Registration Date	Jan. 26, 2021, 3:44 p.m.
Last Update	Nov. 21, 2024, 10:56 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:beta2:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.0:alpha::::::
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.2:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.0:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.10:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:11.0:beta::::::
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.11:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.4:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:beta:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:11.0:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.5:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.3:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.6:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.8:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.12:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.1:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:alpha:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.2:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.3:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.0:beta::::::
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.2:beta1:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.1:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.9:-:lts:::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://info.tiki.org/article221-New-Versions-of-all-supported-versions-of-Tiki-Wiki-CMS-Groupware
2	http://info.tiki.org/article221-New-Versions-of-all-supported-versions-of-Tiki-Wiki-CMS-Groupware
3	http://jvn.jp/en/jp/JVN75720314/index.html
4	http://jvn.jp/en/jp/JVN75720314/index.html
5	http://jvndb.jvn.jp/jvndb/JVNDB-2013-000100
6	http://jvndb.jvn.jp/jvndb/JVNDB-2013-000100

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:beta2:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.0:alpha::::::
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.2:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.0:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.10:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:11.0:beta::::::
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.11:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.4:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:beta:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:11.0:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.5:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.3:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.6:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.8:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.12:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.1:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.0:alpha:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.2:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.3:-:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.0:beta::::::
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:9.2:beta1:lts:::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:10.1:::::::*
cpe:2.3:a:tiki:tikiwiki_cms\/groupware:6.9:-:lts:::::*