NVD Vulnerability Detail

CVE-2013-0136

Summary	Multiple directory traversal vulnerabilities in the EditDocument servlet in the Frontend in Mutiny before 5.0-1.11 allow remote authenticated users to upload and execute arbitrary programs, read arbitrary files, or cause a denial of service (file deletion or renaming) via (1) the uploadPath parameter in an UPLOAD operation; the paths[] parameter in a (2) DELETE, (3) CUT, or (4) COPY operation; or the newPath parameter in a (5) CUT or (6) COPY operation.
Publication Date	June 1, 2013, 11:21 p.m.
Registration Date	Jan. 26, 2021, 3:32 p.m.
Last Update	Nov. 21, 2024, 10:46 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:h:mutiny:mutiny_appliance:-:::::::*
cpe:2.3:a:mutiny:mutiny_virtual_appliance:-:::::::*
cpe:2.3:a:mutiny:mutiny:5.0-1.00:::::::*
cpe:2.3:a:mutiny:mutiny::::::::		5.0-1.10

Related information, measures and tools

No	URL	タグ
1	http://www.kb.cert.org/vuls/id/701572	US Government Resource
2	http://www.kb.cert.org/vuls/id/701572	US Government Resource
3	https://community.rapid7.com/community/metasploit/blog/2013/05/15/new-1day-exploits-mutiny-vulnerabilities	Exploit
4	https://community.rapid7.com/community/metasploit/blog/2013/05/15/new-1day-exploits-mutiny-vulnerabilities	Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

JVN Vulnerability Information

Mutiny にディレクトリトラバーサルの脆弱性

Title	Mutiny にディレクトリトラバーサルの脆弱性
Summary	Mutiny Limited が提供する Mutiny の Frontend の EditDocument サーブレットには、ディレクトリトラバーサルの脆弱性が存在します。
Possible impacts	当該製品のユーザによって、下記の項目を介して、root 権限で任意のファイル操作をされる可能性があります。 (1) UPLOAD 操作における uploadPath パラメータ (2) DELETE 操作における paths[] パラメータ (3) CUT 操作における paths[] パラメータ (4) COPY 操作における paths[] パラメータ (5) CUT 操作における newPath パラメータ (6) COPY 操作における newPath パラメータ
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	May 15, 2013, midnight
Registration Date	May 17, 2013, 3:34 p.m.
Last Update	June 4, 2013, 3:08 p.m.

Affected System

Mutiny Limited

Mutiny 5.0-1.11 (EAGLe) - (02-05-13) より前のバージョン

Mutiny Appliance

Mutiny Standard (Virtual Appliance)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-0136	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0136
National Vulnerability Database (NVD)
2	CVE-2013-0136	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0136

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
Mutiny Limited
1	Mutiny - Upgrade to V5.0	http://www.mutiny.com/mutiny-support/update/

その他

No	Name	URL
JVN
1	JVNVU#91592755	http://jvn.jp/cert/JVNVU91592755/index.html
US-CERT Vulnerability Note
2	VU#701572	http://www.kb.cert.org/vuls/id/701572

Change Log

No	Changed Details	Date of change
0	[2013年05月17日] 掲載 [2013年06月04日] 概要：内容を更新 CVSS による深刻度：内容を更新影響を受けるシステム：内容を更新想定される影響：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加	Feb. 17, 2018, 10:37 a.m.