製品・ソフトウェアに関する情報
Vulnerability Search
Apache Knox における同一生成元ポリシー違反に関する脆弱性
Title Apache Knox における同一生成元ポリシー違反に関する脆弱性
Summary

Apache Knox には、同一生成元ポリシー違反に関する脆弱性が存在します。

Possible impacts 情報を取得される、および情報を改ざんされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date May 26, 2017, midnight
Registration Date June 28, 2017, 5:49 p.m.
Last Update June 28, 2017, 5:49 p.m.
CVSS3.0 : 警告
Score 6.8
Vector CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
CVSS2.0 : 警告
Score 4.9
Vector AV:N/AC:M/Au:S/C:P/I:P/A:N
Affected System
Apache Software Foundation
Apache Knox 0.2.0 から 0.11.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2017年06月28日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2017-5646
Summary

For versions of Apache Knox from 0.2.0 to 0.11.0 - an authenticated user may use a specially crafted URL to impersonate another user while accessing WebHDFS through Apache Knox. This may result in escalated privileges and unauthorized data access. While this activity is audit logged and can be easily associated with the authenticated user, this is still a serious security issue. All users are recommended to upgrade to the Apache Knox 0.12.0 release.

Publication Date May 27, 2017, 6:29 a.m.
Registration Date Jan. 26, 2021, 1:26 p.m.
Last Update Nov. 21, 2024, 12:28 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:knox:0.5.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.4.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.2.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.7.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.3.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.8.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.9.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.10.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.6.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:knox:0.11.0:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List