製品・ソフトウェアに関する情報

JVN脆弱性詳細

Symantec Web Gateway アプライアンス上で稼働する管理コンソールにおける任意の OS コマンドを実行される脆弱性

Title	Symantec Web Gateway アプライアンス上で稼働する管理コンソールにおける任意の OS コマンドを実行される脆弱性
Summary	Symantec Web Gateway (SWG) アプライアンス上で稼働する管理コンソールには、任意の OS コマンドを実行される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-77: Improper Neutralization of Special Elements used in a Command (コマンドインジェクション) と識別されています。 http://cwe.mitre.org/data/definitions/77.html
Possible impacts	リモート認証されたユーザにより、不特定の PHP スクリプトにコマンド文字列を挿入されることで、任意の OS コマンドを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 16, 2014, midnight
Registration Date	Dec. 19, 2014, 2:56 p.m.
Last Update	Dec. 19, 2014, 2:56 p.m.

Affected System

シマンテック

Symantec Web Gateway 5.2.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-7285	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7285
National Vulnerability Database (NVD)
2	CVE-2014-7285	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7285

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Symantec Security Advisory
1	SYM14-016	http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20141216_00
シマンテックセキュリティ・アドバイザリー
2	SYM14-016	http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20141216_00

Change Log

No	Changed Details	Date of change
0	[2014年12月19日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-7285

Summary	The management console on the Symantec Web Gateway (SWG) appliance before 5.2.2 allows remote authenticated users to execute arbitrary OS commands by injecting command strings into unspecified PHP scripts.
Publication Date	Dec. 18, 2014, 1:59 a.m.
Registration Date	Jan. 26, 2021, 3:18 p.m.
Last Update	Nov. 21, 2024, 11:16 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:symantec:web_gateway::::::::			5.2.1

Related information, measures and tools

No	URL	タグ
1	http://karmainsecurity.com/KIS-2014-19
2	http://osvdb.org/show/osvdb/116009
3	http://packetstormsecurity.com/files/130612/Symantec-Web-Gateway-5-restore.php-Command-Injection.html
4	http://www.exploit-db.com/exploits/36263
5	http://www.securityfocus.com/bid/71620
6	http://www.securitytracker.com/id/1031386
7	http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20141216_00	Vendor Advisory
8	http://karmainsecurity.com/KIS-2014-19
9	http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20141216_00	Vendor Advisory
10	http://www.securitytracker.com/id/1031386
11	http://www.securityfocus.com/bid/71620
12	http://www.exploit-db.com/exploits/36263
13	http://packetstormsecurity.com/files/130612/Symantec-Web-Gateway-5-restore.php-Command-Injection.html
14	http://osvdb.org/show/osvdb/116009

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-77	コマンドインジェクション	https://cwe.mitre.org/data/definitions/77.html