| Title | MilkyStep におけるアクセス制限不備の脆弱性 |
|---|---|
| Summary | 株式会社イグレックスが提供する MilkyStep は、メールマガジンの配信・管理を行う CGI です。MilkyStep には、ユーザ情報の管理機能に対するアクセス制限不備の脆弱性 (CWE-284) が存在します。 なお、本脆弱性は JVN#16409640、JVN#74280258 とは異なる問題です。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 草野 一彦 氏 |
| Possible impacts | 当該製品の管理者でないユーザに、管理者のアカウント情報を変更されるなどの可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください |
| Publication Date | June 12, 2015, midnight |
| Registration Date | June 12, 2015, 12:05 p.m. |
| Last Update | June 16, 2015, 4:32 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5.5 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:P/I:P/A:N |
| 株式会社イグレックス |
| MilkyStep Light Ver0.94 およびそれ以前 |
| MilkyStep Professional Ver1.82 およびそれ以前 |
| MilkyStep Professional OEM Ver1.82 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2015年06月12日] 掲載 [2015年06月16日] 参考情報:National Vulnerability Database (NVD) (CVE-2015-2952) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The user-information management functionality in Igreks MilkyStep Light 0.94 and earlier and Professional 1.82 and earlier allows remote authenticated users to bypass intended access restrictions and modify administrative credentials via unspecified vectors, a different vulnerability than CVE-2015-2953 and CVE-2015-2958. |
|---|---|
| Publication Date | June 14, 2015, 12:59 a.m. |
| Registration Date | Jan. 26, 2021, 2:48 p.m. |
| Last Update | Nov. 21, 2024, 11:28 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:igreks:milkystep_professional_oem:*:*:*:*:*:*:*:* | 1.82 | ||||
| cpe:2.3:a:igreks:milkystep_light:*:*:*:*:*:*:*:* | 0.94 | ||||
| cpe:2.3:a:igreks:milkystep_professional:*:*:*:*:*:*:*:* | 1.82 | ||||