製品・ソフトウェアに関する情報

JVN脆弱性詳細

Red Hat JBoss BPM Suite のダッシュビルダにおける CSRF 保護メカニズムを回避される脆弱性

Title	Red Hat JBoss BPM Suite のダッシュビルダにおける CSRF 保護メカニズムを回避される脆弱性
Summary	Red Hat JBoss BPM Suite のダッシュビルダは、アクティブセッション中に生成された CSRF トークンを適切に処理せず、クエリ文字列に含めるため、(1) CSRF 保護メカニズムを回避される、または (2) クロスサイトリクエストフォージェリ攻撃を実行される脆弱性が存在します。
Possible impacts	第三者により、古いトークンを取得されることで、(1) CSRF 保護メカニズムを回避される、または (2) クロスサイトリクエストフォージェリ攻撃を実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 6, 2016, midnight
Registration Date	Sept. 9, 2016, 12:12 p.m.
Last Update	Sept. 9, 2016, 12:12 p.m.

Affected System

レッドハット

Red Hat JBoss BPM Suite 6.3.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-7034	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7034
National Vulnerability Database (NVD)
2	CVE-2016-7034	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7034

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Red Hat Bugzilla
1	Bug 1373347	https://bugzilla.redhat.com/show_bug.cgi?id=1373347

Change Log

No	Changed Details	Date of change
0	[2016年09月09日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-7034

Summary	The dashbuilder in Red Hat JBoss BPM Suite 6.3.2 does not properly handle CSRF tokens generated during an active session and includes them in query strings, which makes easier for remote attackers to (1) bypass CSRF protection mechanisms or (2) conduct cross-site request forgery (CSRF) attacks by obtaining an old token.
Publication Date	Sept. 8, 2016, 3:59 a.m.
Registration Date	Jan. 26, 2021, 2:16 p.m.
Last Update	Nov. 21, 2024, 11:57 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:redhat:jboss_bpm_suite:6.3.2:::::::*

Related information, measures and tools

No	URL	タグ
1	http://rhn.redhat.com/errata/RHSA-2017-0557.html
2	http://rhn.redhat.com/errata/RHSA-2017-0557.html
3	http://www.securityfocus.com/bid/92760	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/92760	Third Party Advisory VDB Entry
5	https://access.redhat.com/errata/RHSA-2018:0296
6	https://access.redhat.com/errata/RHSA-2018:0296
7	https://bugzilla.redhat.com/show_bug.cgi?id=1373347	Issue Tracking
8	https://bugzilla.redhat.com/show_bug.cgi?id=1373347	Issue Tracking

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html