製品・ソフトウェアに関する情報

JVN脆弱性詳細

Parallels Plesk Panel に任意のコードが実行される脆弱性

Title	Parallels Plesk Panel に任意のコードが実行される脆弱性
Summary	Parallels Plesk Panel には、任意のコードが実行される脆弱性が存在します。 Parallels Plesk Panel が稼働しているウェブサーバにおいて、phppath のエイリアス設定に関する問題と、CVE-2012-1823 の問題が同時に存在する場合に、任意のコードが実行される可能性があります。なお、CERT/CC によると、本問題を使用した攻撃活動が行われているとのことです。
Possible impacts	遠隔の第三者によって、任意のコードが実行される可能性があります。
Solution	[アップグレードする] 開発者によると、バージョン 9.0 から 9.2.3 は、サポートが終了しているため、最新版である 11系にアップグレードすることを推奨しています。 [ワークアラウンドを実施する] アップグレードするまでの間、以下の回避策を適用してください。　* 開発者が提供するスクリプトを実行し、Apache の設定を変更する　* PHP を最新版にアップデートするなお、開発者によると、現在サポートされているバージョン　(9.5.4、10.x、11.x) および既にサポートが終了している 8.x は、本脆弱性の影響を受けないとのことです。
Publication Date	June 7, 2013, midnight
Registration Date	June 11, 2013, 11:38 a.m.
Last Update	Aug. 6, 2013, 3:52 p.m.

Affected System

Parallels

Parallels Plesk Panel バージョン 9.0 から 9.2.3 までの Linux 版

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-4878	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4878
National Vulnerability Database (NVD)
2	CVE-2013-4878	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4878

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Parallels
1	Parallels Plesk Panel: phppath/php vulnerability	http://kb.parallels.com/116241

その他

No	Name	URL
JVN
1	JVNVU#90102556	http://jvn.jp/cert/JVNVU90102556/index.html
US-CERT Vulnerability Note
2	Vulnerability Note VU#673343	http://www.kb.cert.org/vuls/id/673343

Change Log

No	Changed Details	Date of change
0	[2013年06月11日] 掲載 [2013年07月22日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加共通脆弱性識別子(CVE)：CVE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2013-4878) を追加 [2013年08月06日] CVSS による深刻度：内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-4878

Summary	The default configuration of Parallels Plesk Panel 9.0.x and 9.2.x on UNIX, and Small Business Panel 10.x on UNIX, has an improper ScriptAlias directive for phppath, which makes it easier for remote attackers to execute arbitrary code via a crafted request, a different vulnerability than CVE-2012-1823.
Publication Date	July 19, 2013, 1:51 a.m.
Registration Date	Jan. 26, 2021, 3:44 p.m.
Last Update	Nov. 21, 2024, 10:56 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:parallels:parallels_plesk_panel:9.0:::::::*
cpe:2.3:a:parallels:parallels_plesk_panel:9.2:::::::*
cpe:2.3:a:parallels:parallels_small_business_panel:10.0:::::::*
execution environment
1	cpe:2.3:o:linux:linux_kernel::::::::

Related information, measures and tools

No	URL	タグ
1	http://kb.parallels.com/116241	Vendor Advisory
2	http://kb.parallels.com/116241	Vendor Advisory
3	http://seclists.org/fulldisclosure/2013/Jun/21
4	http://seclists.org/fulldisclosure/2013/Jun/21
5	http://www.kb.cert.org/vuls/id/673343	US Government Resource
6	http://www.kb.cert.org/vuls/id/673343	US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html