NVD Vulnerability Detail

CVE-2012-5683

Summary	Multiple cross-site request forgery (CSRF) vulnerabilities in ZPanel 10.0.1 and earlier allow remote attackers to hijack the authentication of administrators for requests that (1) create new FTP users via a CreateFTP action in the ftp_management module to the default URI, (2) conduct cross-site scripting (XSS) attacks via the inFullname parameter in an UpdateAccountSettings action in the my_account module to zpanel/, or (3) conduct SQL injection attacks via the inEmailAddress parameter in an UpdateClient action in the manage_clients module to the default URI.
Publication Date	Aug. 14, 2014, 11:55 p.m.
Registration Date	Jan. 28, 2021, 3:06 p.m.
Last Update	Nov. 21, 2024, 10:45 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:zpanelcp:zpanel::::::::			10.0.1

Related information, measures and tools

No	URL	タグ
1	http://osvdb.org/show/osvdb/87140
2	http://osvdb.org/show/osvdb/87140
3	http://packetstormsecurity.com/files/117894/ZPanel-10.0.1-XSS-CSRF-SQL-Injection.html	Exploit
4	http://packetstormsecurity.com/files/117894/ZPanel-10.0.1-XSS-CSRF-SQL-Injection.html	Exploit
5	http://secunia.com/advisories/51172
6	http://secunia.com/advisories/51172
7	http://www.exploit-db.com/exploits/22490	Exploit
8	http://www.exploit-db.com/exploits/22490	Exploit
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/79838
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/79838

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN Vulnerability Information

ZPanel におけるクロスサイトリクエストフォージェリの脆弱性

Title	ZPanel におけるクロスサイトリクエストフォージェリの脆弱性
Summary	ZPanel には、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	第三者により、管理者の認証をハイジャックされ、以下の項目を実行される可能性があります。 (1) デフォルト URI の ftp_management モジュールの CreateFTP アクションを介して、新しい FTP ユーザを作成される (2) zpanel/ 配下の my_account モジュールの UpdateAccountSettings アクションの inFullname パラメータを介して、クロスサイトスクリプティング攻撃を実行される (3) デフォルト URI の manage_clients モジュールの UpdateClient アクションの inEmailAddress パラメータを介して、SQL インジェクション攻撃を実行される
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Nov. 4, 2012, midnight
Registration Date	Aug. 15, 2014, 6:46 p.m.
Last Update	Aug. 15, 2014, 6:46 p.m.

Affected System

ZPanel Project

ZPanel 10.0.1 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-5683	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5683
National Vulnerability Database (NVD)
2	CVE-2012-5683	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5683

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Zpanel
1	Top Page	http://www.zpanelcp.com/

その他

No	Name	URL
関連文書
1	87140 : ZPanel Multiple Function CSRF	http://osvdb.org/show/osvdb/87140

Change Log

No	Changed Details	Date of change
0	[2014年08月15日] 掲載	Feb. 17, 2018, 10:37 a.m.