製品・ソフトウェアに関する情報

JVN脆弱性詳細

Attachmate Verastream Host Integrator に任意のファイルを上書き可能な脆弱性

Title	Attachmate Verastream Host Integrator に任意のファイルを上書き可能な脆弱性
Summary	Attachmate Corporation が提供する Verastream Host Integrator (VHI) には、サーバ上の任意のファイルを上書きすることが可能な脆弱性が存在します。 Attachmate Corporation が提供する Verastream Host Integrator (VHI) には、VHI Session Server の処理に問題があり、VHI Session Server に細工したメッセージを送信することで、サーバ上の任意のファイルを上書きすることが可能な脆弱性が存在します。　* CWE-22: パス・トラバーサル - CVE-2013-3626 　　Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 　　http://cwe.mitre.org/data/definitions/22.html
Possible impacts	遠隔の第三者によって、サーバ上の任意のファイルを上書きされる可能性があります。その結果、サーバの管理者権限を取得される可能性があります。
Solution	[Hotfix を適用する] 開発者は本脆弱性を修正する Hotfix を提供しています。詳しくは開発者が提供する情報をご確認ください。
Publication Date	Nov. 4, 2013, midnight
Registration Date	Nov. 5, 2013, 3:33 p.m.
Last Update	Nov. 8, 2013, 5:02 p.m.

Affected System

Attachmate

Verastream Host Integrator 6.0

Verastream Host Integrator 6.5

Verastream Host Integrator 6.6

Verastream Host Integrator 7.0

Verastream Host Integrator 7.1

Verastream Host Integrator 7.1 SP 1

Verastream Host Integrator 7.1 SP 2

Verastream Host Integrator 7.1 SP 2 HF 1 - 6

Verastream Host Integrator 7.5

Verastream Host Integrator 7.5 SP 1

Verastream Host Integrator 7.5 SP 1 HF 1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-3626	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3626
National Vulnerability Database (NVD)
2	CVE-2013-3626	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3626

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
Technical Notes
1	Security Updates and Verastream - Technical Note 2700	http://support.attachmate.com/techdocs/2700.html

その他

No	Name	URL
JVN
1	JVNVU#98012998	http://jvn.jp/cert/JVNVU98012998/index.html
US-CERT Vulnerability Note
2	VU#436214	http://www.kb.cert.org/vuls/id/436214

Change Log

No	Changed Details	Date of change
0	[2013年11月05日] 掲載 [2013年11月08日] CVSS による深刻度：内容を更新参考情報：National Vulnerability Database (NVD) (CVE-2013-3626) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-3626

Summary	Directory traversal vulnerability in the Session Server in Attachmate Verastream Host Integrator (VHI) 6.0 through 7.5 SP 1 HF 1 allows remote attackers to upload and execute arbitrary files via a crafted message.
Publication Date	Nov. 7, 2013, 12:55 a.m.
Registration Date	Jan. 26, 2021, 3:41 p.m.
Last Update	Nov. 21, 2024, 10:54 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:attachmate:verastream_host_integrator:6.5:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:7.0:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:7.5:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:6.0:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:7.5:sp1::::::
cpe:2.3:a:attachmate:verastream_host_integrator:7.1:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:6.6:::::::*

Related information, measures and tools

No	URL	タグ
1	http://support.attachmate.com/techdocs/2700.html	Vendor Advisory
2	http://support.attachmate.com/techdocs/2700.html	Vendor Advisory
3	http://www.kb.cert.org/vuls/id/436214	US Government Resource
4	http://www.kb.cert.org/vuls/id/436214	US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:attachmate:verastream_host_integrator:6.5:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:7.0:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:7.5:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:6.0:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:7.5:sp1::::::
cpe:2.3:a:attachmate:verastream_host_integrator:7.1:::::::*
cpe:2.3:a:attachmate:verastream_host_integrator:6.6:::::::*