製品・ソフトウェアに関する情報

JVN脆弱性詳細

Drupal 用 Spaces モジュールの Spaces OG サブモジュールにおける重要な情報を取得される脆弱性

Title	Drupal 用 Spaces モジュールの Spaces OG サブモジュールにおける重要な情報を取得される脆弱性
Summary	Drupal 用 Spaces モジュールの Spaces OG サブモジュールは、新しいグループに移動するためにオプションを使用する際、Organic Group のグループ spaces コンテンツを適切に削除しないため、コンテンツを "orphaned" にされる原因となり、重要な情報を取得される脆弱性が存在します。
Possible impacts	"access content" 権限を持つリモート認証されたユーザにより、サイトまたはコンテンツに対するアクセス権の再構築 (rebuild) に関する問題によって、重要な情報を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 23, 2013, midnight
Registration Date	May 20, 2014, 4:37 p.m.
Last Update	May 20, 2014, 4:37 p.m.

Affected System

Florian Weber

Spaces 6.x-3.7 未満の 6.x-3.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-4498	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4498
National Vulnerability Database (NVD)
2	CVE-2013-4498	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4498

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

Change Log

No	Changed Details	Date of change
0	[2014年05月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-4498

Summary	The Spaces OG submodule in the Spaces module 6.x-3.x before 6.x-3.7 for Drupal does not properly delete organic group group spaces content when using the option to move to a new group, which causes the content to be "orphaned" and allows remote authenticated users with the "access content" permission to obtain sensitive information via vectors involving a rebuild access for the site or content.
Publication Date	May 18, 2014, 5:55 a.m.
Registration Date	Jan. 26, 2021, 3:43 p.m.
Last Update	Nov. 21, 2024, 10:55 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:florian_weber:spaces:6.x-3.0:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta3::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta4::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:r1::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta5::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta2::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:alpha2::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta1::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta6::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:r2::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:alpha1::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.1:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.2:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.3:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.4:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.5:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.6:::::::*
execution environment
1	cpe:2.3:a:drupal:drupal:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://seclists.org/oss-sec/2013/q4/210
2	http://seclists.org/oss-sec/2013/q4/210
3	https://drupal.org/node/2118717	Patch Vendor Advisory
4	https://drupal.org/node/2118717	Patch Vendor Advisory
5	https://drupal.org/node/2118745	Patch
6	https://drupal.org/node/2118745	Patch

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:florian_weber:spaces:6.x-3.0:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta3::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta4::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:r1::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta5::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta2::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:alpha2::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta1::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:beta6::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:r2::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.0:alpha1::::::
cpe:2.3:a:florian_weber:spaces:6.x-3.1:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.2:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.3:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.4:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.5:::::::*
cpe:2.3:a:florian_weber:spaces:6.x-3.6:::::::*
execution environment
1	cpe:2.3:a:drupal:drupal:-:::::::*