| Title | SolarWinds FTP Voyager の Scheduler の Web インターフェースにおけるクロスサイトリクエストフォージェリの脆弱性 |
|---|---|
| Summary | SolarWinds (旧 Serv-U) FTP Voyager の Scheduler の Web インターフェースには、クロスサイトリクエストフォージェリの脆弱性が存在します。 |
| Possible impacts | リモートの攻撃者により、Admin/XML/Result.xml に対する巧妙に細工されたリクエストを介して、ユーザの認証をハイジャックされ、(1) 管理者のパスワードを変更される、(2) Scheduler を終了される、または (3) 任意のコマンドを実行される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | March 9, 2017, midnight |
| Registration Date | April 18, 2017, 10:37 a.m. |
| Last Update | April 18, 2017, 10:37 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| SolarWinds |
| FTP Voyager Scheduler 16.2.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2017年04月18日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Multiple cross-site request forgery (CSRF) vulnerabilities in the web interface in the Scheduler in SolarWinds (formerly Serv-U) FTP Voyager 16.2.0 allow remote attackers to hijack the authentication of users for requests that (1) change the admin password, (2) terminate the scheduler, or (3) possibly execute arbitrary commands via crafted requests to Admin/XML/Result.xml. |
|---|---|
| Publication Date | March 21, 2017, 1:59 a.m. |
| Registration Date | Jan. 26, 2021, 1:27 p.m. |
| Last Update | Nov. 21, 2024, 12:30 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:solarwinds:ftp_voyager:16.2.0:*:*:*:*:*:*:* | |||||