NVD Vulnerability Detail
Search Exploit, PoC
CVE-2006-6629
Summary

lib/WeBWorK/PG/Translator.pm in WeBWorK Program Generation (PG) Language before 2.3.1 uses an insufficiently restrictive regular expression to determine valid macro filenames, which allows attackers to load arbitrary macro files whose names contain the strings (1) dangerousMacros.pl, (2) PG.pl, or (3) IO.pl.

Summary

This vulnerability is addressed in the following product release:
WeBWorK, Program Generation Language, 2.3.1

Publication Date Dec. 18, 2006, 8:28 p.m.
Registration Date Jan. 29, 2021, 3:52 p.m.
Last Update March 8, 2011, 11:46 a.m.
CVSS2.0 : HIGH
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges はい
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:webwork:program_generation_language:*:*:*:*:*:*:*:* 2.3
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
WeBWorK PG Language の lib/WeBWorK/PG/Translator.pm における dangerousMacros.pl などの文字列を含む名前を伴う任意のマクロを起動される脆弱性
Title WeBWorK PG Language の lib/WeBWorK/PG/Translator.pm における dangerousMacros.pl などの文字列を含む名前を伴う任意のマクロを起動される脆弱性
Summary

WeBWorK Program Generation (PG) Language の lib/WeBWorK/PG/Translator.pm は、制限が不十分な正規表現を用いて有効なマクロを特定するため、以下の文字列を含む名前を伴う任意のマクロを起動される脆弱性が存在します。 (1) dangerousMacros.pl (2) PG.pl (3) IO.pl

Possible impacts 第三者により、以下の文字列を含む名前を伴う任意のマクロを起動される可能性があります。 (1) dangerousMacros.pl (2) PG.pl (3) IO.pl
Solution

参考情報を参照して適切な対策を実施してください。
Publication Date Dec. 18, 2006, midnight
Registration Date Dec. 20, 2012, 6:02 p.m.
Last Update Dec. 20, 2012, 6:02 p.m.
Affected System
webwork
program generation language 2.3.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.