製品・ソフトウェアに関する情報
Vulnerability Search
XCloner Standalone におけるクロスサイトリクエストフォージェリの脆弱性
Title XCloner Standalone におけるクロスサイトリクエストフォージェリの脆弱性
Summary

XCloner Standalone には、クロスサイトリクエストフォージェリの脆弱性が存在します。 本脆弱性は、XCloner Wordpress プラグインの脆弱性である CVE-2014-2340 と重複している可能性があります。

Possible impacts 第三者により、管理者の認証をハイジャックされ、以下を実行される可能性があります。  (1) index2.php の設定タスクを介して、管理者パスワードを変更される (2) enable_db_backup および sql_mem オプションが有効な場合、index2.php の generate アクションの dbbackup_comp パラメータを介して、データベースバックアップ機能にアクセスされる  また、第三者により、本脆弱性とともに CVE-2014-2996 を利用されることで、任意のコマンドを実行される可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date April 9, 2014, midnight
Registration Date April 30, 2014, 6:18 p.m.
Last Update April 30, 2014, 6:18 p.m.
CVSS2.0 : 危険
Score 7.6
Vector AV:N/AC:H/Au:N/C:C/I:C/A:C
Affected System
XCloner
XCloner Standalone 3.5 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年04月30日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-2579
Summary

Multiple cross-site request forgery (CSRF) vulnerabilities in XCloner Standalone 3.5 and earlier allow remote attackers to hijack the authentication of administrators for requests that (1) change the administrator password via the config task to index2.php or (2) when the enable_db_backup and sql_mem options are enabled, access the database backup functionality via the dbbackup_comp parameter in the generate action to index2.php. NOTE: vector 2 might be a duplicate of CVE-2014-2340, which is for the XCloner Wordpress plugin. NOTE: remote attackers can leverage CVE-2014-2996 with vector 2 to execute arbitrary commands.

Publication Date April 26, 2014, 5:55 a.m.
Registration Date Jan. 26, 2021, 3:09 p.m.
Last Update Nov. 21, 2024, 11:06 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:xcloner:xcloner:*:*:standalone:*:*:*:*:* 3.5
Related information, measures and tools
Common Vulnerabilities List