| Summary | Cross-site request forgery (CSRF) vulnerability in saveRestore.htm on the Quantum Scalar i500 tape library with firmware before i7.0.3 (604G.GS00100), also distributed as the Dell ML6000 tape library with firmware before A20-00 (590G.GS00100), allows remote attackers to hijack the authentication of users for requests that execute Linux commands via the fileName parameter, related to a "command-injection vulnerability." |
|---|---|
| Publication Date | March 22, 2012, 7:17 p.m. |
| Registration Date | Jan. 28, 2021, 2:56 p.m. |
| Last Update | Nov. 21, 2024, 10:37 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 6.0 |
|---|---|
| Vector | AV:N/AC:M/Au:S/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:quantum:scalar_i500_firmware:*:*:*:*:*:*:*:* | i7.0.2 | ||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i3.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i5.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i6.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:i7.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:sp4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:quantum:scalar_i500_firmware:sp4.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:quantum:scalar_i500:5u:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:quantum:scalar_i500:14u:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:quantum:scalar_i500:23u:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:dell:powervault_ml6000_firmware:585g.gs003:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:dell:powervault_ml6000:32u:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:dell:powervault_ml6000:41u:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:dell:powervault_ml6010:5u:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:dell:powervault_ml6020:14u:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:dell:powervault_ml6030:23u:*:*:*:*:*:*:* | |||||
| Title | Quantum Scalar i500 および Dell ML6000 におけるクロスサイトリクエストフォージェリの脆弱性 |
|---|---|
| Summary | Quantum Scalar i500 テープライブラリ、および Dell ML6000 テープライブラリの saveRestore.htm には、クロスサイトリクエストフォージェリの脆弱性が存在します。 |
| Possible impacts | 第三者により、fileName パラメータを介して、Linux コマンド実行のリクエストに対するユーザ認証をハイジャックされる可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | March 22, 2012, midnight |
| Registration Date | March 26, 2012, 6:11 p.m. |
| Last Update | June 15, 2012, 6:53 p.m. |
| デル |
| PowerVault ML6000 32U ファームウェア A20-00 (590G.GS00100) 未満 |
| PowerVault ML6000 41U ファームウェア A20-00 (590G.GS00100) 未満 |
| PowerVault ML6000 ファームウェア A20-00 (590G.GS00100) 未満 |
| PowerVault ML6010 5U ファームウェア A20-00 (590G.GS00100) 未満 |
| PowerVault ML6020 14U ファームウェア A20-00 (590G.GS00100) 未満 |
| PowerVault ML6030 23U ファームウェア A20-00 (590G.GS00100) 未満 |
| クアンタム |
| Scalar i500 14U ファームウェア i7.0.3 (604G.GS00100) 未満 |
| Scalar i500 23U ファームウェア i7.0.3 (604G.GS00100) 未満 |
| Scalar i500 5U ファームウェア i7.0.3 (604G.GS00100) 未満 |
| Scalar i500 ファームウェア i7.0.3 (604G.GS00100) 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年03月26日] 掲載 [2012年06月15日] CVSS による深刻度:基本値と攻撃前の認証要否を変更 |
Feb. 17, 2018, 10:37 a.m. |