NVD Vulnerability Detail
Search Exploit, PoC
CVE-2006-6973
Summary

Headstart Solutions DeskPRO does not require authentication for certain files and directories associated with administrative activities, which allows remote attackers to (1) reinstall the application via a direct request for install/index.php; (2) delete the database via a do=delete_database QUERY_STRING to a renamed copy of install/index.php; or access the administration system, after guessing a filename, via a direct request for a file in (3) admin/ or (4) tech/.

Summary

Only certain files are affected, so the impact is partial for confidentiality, integrity, and availability.

Publication Date Feb. 8, 2007, 5:28 a.m.
Registration Date Jan. 29, 2021, 3:53 p.m.
Last Update Sept. 6, 2008, 6:16 a.m.
CVSS2.0 : HIGH
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges はい
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:headstart_solutions:deskpro:*:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Headstart Solutions の DeskPRO におけるアプリケーションを再インストールされる脆弱性
Title Headstart Solutions の DeskPRO におけるアプリケーションを再インストールされる脆弱性
Summary

Headstart Solutions の DeskPRO は、管理作業に関連する特定のファイルおよびディレクトリへの認証を要求しないため、(1) アプリケーションを再インストールされる、(2) データベースを削除される、または (3) 管理用システムにアクセスされる脆弱性が存在します。

Possible impacts 第三者により、以下の影響を受ける可能性があります。 (1) 直接リクエストを介して、アプリケーションを再インストールされる (2) install/index.php のリネームされたコピーへの do=delete_database QUERY_STRING を介して、データベースを削除される (3) admin/ 内のファイルへの直接リクエストを介して、ファイル名を推測されて管理用システムにアクセスされる (4) tech/ 内のファイルへの直接リクエストを介して、ファイル名を推測されて管理用システムにアクセスされる
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Feb. 7, 2007, midnight
Registration Date Sept. 25, 2012, 3:36 p.m.
Last Update Sept. 25, 2012, 3:36 p.m.
Affected System
headstart solutions
deskpro 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.