WampServer における任意のコードを実行される脆弱性
| Title |
WampServer における任意のコードを実行される脆弱性
|
| Summary |
** 未確定 ** 本件は、脆弱性として確定していません。 WampServer は、変更に対して脆弱な ACL の 'wampmanager.exe' および 'unins000.exe' ファイルを持つため、権限昇格により、任意のコードを実行される脆弱性が存在します。 本脆弱性は、wampmanager.exe または unins000.exe を挿入し、元のファイルと置き換えられることで悪用される可能性がありますが、ベンダは、"'第三者' (攻撃者) が PC 上のファイルを置換できる" 設定は、"WampServer の欠陥" ではないという立場を取っており、本脆弱性の妥当性に対して異議を申し立てています。
|
| Possible impacts |
ローカルの攻撃者により、wampmanager.exe または unins000.exe ファイルを置き換えられることで、任意のコードを実行される可能性があります。 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
Dec. 13, 2016, midnight |
| Registration Date |
Jan. 13, 2017, 3:58 p.m. |
| Last Update |
Jan. 13, 2017, 3:58 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
|
CVSS2.0 : 警告
|
| Score |
6.9
|
| Vector |
AV:L/AC:M/Au:N/C:C/I:C/A:C |
Affected System
| WampServer |
|
WampServer 3.0.6
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2017年01月13日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2016-10072
| Summary |
WampServer 3.0.6 has two files called 'wampmanager.exe' and 'unins000.exe' with a weak ACL for Modify. This could potentially allow an authorized but non-privileged local user to execute arbitrary code with elevated privileges on the system. To properly exploit this vulnerability, the local attacker must insert an executable file called wampmanager.exe or unins000.exe and replace the original files. The next time one of these programs is launched by a more privileged user, malicious code chosen by the local attacker will run. NOTE: the vendor disputes the relevance of this report, taking the position that a configuration in which "'someone' (an attacker) is able to replace files on a PC" is not "the fault of WampServer.
|
| Publication Date |
Dec. 27, 2016, 4:59 p.m. |
| Registration Date |
Jan. 26, 2021, 2:05 p.m. |
| Last Update |
Nov. 21, 2024, 11:43 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:wampserver:wampserver:3.0.6:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List