製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache CXF Fediz の複数のプラグインにおけるクロスサイトリクエストフォージェリの脆弱性

Title	Apache CXF Fediz の複数のプラグインにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	Apache CXF Fediz のSpring 2、Spring 3、Jetty 8 および Jetty 9 プラグインには、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 16, 2017, midnight
Registration Date	June 15, 2017, 4:18 p.m.
Last Update	June 15, 2017, 4:18 p.m.

CVSS3.0 : 重要
Score	8.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS2.0 : 警告
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P

Affected System

Apache Software Foundation

Apache CXF Fediz 1.2.4

Apache CXF Fediz 1.3.2

Apache CXF Fediz 1.4.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Apache CXF Fediz
1	CVE-2017-7661: The Apache CXF Fediz Jetty and Spring plugins are vulnerable to CSRF attacks.	http://cxf.apache.org/security-advisories.data/CVE-2017-7661.txt.asc
Common Vulnerabilities and Exposures (CVE)
2	CVE-2017-7661	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7661
National Vulnerability Database (NVD)
3	CVE-2017-7661	https://nvd.nist.gov/vuln/detail/CVE-2017-7661

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

Change Log

No	Changed Details	Date of change
0	[2017年06月15日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2017-7661

Summary	Apache CXF Fediz ships with a number of container-specific plugins to enable WS-Federation for applications. A CSRF (Cross Style Request Forgery) style vulnerability has been found in the Spring 2, Spring 3, Jetty 8 and Jetty 9 plugins in Apache CXF Fediz prior to 1.4.0, 1.3.2 and 1.2.4.
Publication Date	May 17, 2017, 2:29 a.m.
Registration Date	Jan. 26, 2021, 1:28 p.m.
Last Update	Nov. 21, 2024, 12:32 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apache:cxf_fediz::::::::		1.4.0
cpe:2.3:a:apache:cxf_fediz:1.3.2:::::::*
cpe:2.3:a:apache:cxf_fediz:1.2.4:::::::*

Related information, measures and tools

No	URL	タグ
1	http://cxf.apache.org/security-advisories.data/CVE-2017-7661.txt.asc	Patch Vendor Advisory
2	http://cxf.apache.org/security-advisories.data/CVE-2017-7661.txt.asc	Patch Vendor Advisory
3	http://www.securitytracker.com/id/1038497
4	http://www.securitytracker.com/id/1038497
5	https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf%40%3Ccommits.cxf.apache.org%3E
6	https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf%40%3Ccommits.cxf.apache.org%3E
7	https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84a2b96470a0187315c%40%3Ccommits.cxf.apache.org%3E
8	https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84a2b96470a0187315c%40%3Ccommits.cxf.apache.org%3E
9	https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6%40%3Ccommits.cxf.apache.org%3E
10	https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6%40%3Ccommits.cxf.apache.org%3E
11	https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9ba71394f0d321e2d4%40%3Ccommits.cxf.apache.org%3E
12	https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9ba71394f0d321e2d4%40%3Ccommits.cxf.apache.org%3E
13	https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1ad49da365129b7f89e%40%3Ccommits.cxf.apache.org%3E
14	https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1ad49da365129b7f89e%40%3Ccommits.cxf.apache.org%3E
15	https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4%40%3Ccommits.cxf.apache.org%3E
16	https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4%40%3Ccommits.cxf.apache.org%3E

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html