NVD Vulnerability Detail

CVE-2013-3827

Summary	Unspecified vulnerability in the Oracle GlassFish Server component in Oracle Fusion Middleware 2.1.1, 3.0.1, and 3.1.2; the Oracle JDeveloper component in Oracle Fusion Middleware 11.1.2.3.0, 11.1.2.4.0, and 12.1.2.0.0; and the Oracle WebLogic Server component in Oracle Fusion Middleware 10.3.6.0 and 12.1.1 allows remote attackers to affect confidentiality via unknown vectors related to Java Server Faces or Web Container.
Publication Date	Oct. 17, 2013, 12:55 a.m.
Registration Date	Jan. 26, 2021, 3:41 p.m.
Last Update	Nov. 21, 2024, 10:54 a.m.

CVSS2.0 : MEDIUM
Score	5.0
Vector	AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:fusion_middleware:3.1.2:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:3.0.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:10.3.6:::::::*
cpe:2.3:a:oracle:fusion_middleware:2.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.3.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.2.0.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.4.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://rhn.redhat.com/errata/RHSA-2014-0029.html
2	http://rhn.redhat.com/errata/RHSA-2014-0029.html
3	http://www.kb.cert.org/vuls/id/526012	US Government Resource
4	http://www.kb.cert.org/vuls/id/526012	US Government Resource
5	http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html	Vendor Advisory
6	http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html	Vendor Advisory
7	http://www.securityfocus.com/bid/63052
8	http://www.securityfocus.com/bid/63052
9	http://www.securitytracker.com/id/1029190
10	http://www.securitytracker.com/id/1029190

Common Vulnerabilities List

JVN Vulnerability Information

JavaServer Faces に複数の脆弱性

Title	JavaServer Faces に複数の脆弱性
Summary	Oracle が提供する JavaServer Faces には、複数の脆弱性が存在します。 Oracle が提供する JavaServer Faces は、Oracle Fusion Middleware に含まれる Oracle GlassFish Server コンポーネント、Oracle JDeveloper コンポーネント、Oracle WebLogic Server コンポーネントなどで使用されています。 JavaServer Faces には、Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22) や Incorrect Control Flow Scoping (CWE-705) などの脆弱性が存在します。 CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') http://cwe.mitre.org/data/definitions/22.html CWE-705: Incorrect Control Flow Scoping http://cwe.mitre.org/data/definitions/705.html
Possible impacts	第三者により、情報を取得される可能性があります。
Solution	[アップデートする] Oracle は、本脆弱性を Oracle Critical Patch Update Advisory - October 2013 で修正しています。本脆弱性の影響を受けるアプリケーションを使用している場合、各開発者が提供する情報をもとに、対策版へアップデートしてください。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。　* アクセスを制限する
Publication Date	Oct. 15, 2013, midnight
Registration Date	Oct. 17, 2013, 4:47 p.m.
Last Update	July 16, 2019, 11:21 a.m.

Affected System

オラクル

Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.3.0

Oracle Fusion Middleware の Oracle JDeveloper 11.1.2.4.0

Oracle Fusion Middleware の Oracle JDeveloper 12.1.2.0.0

Oracle GlassFish Server 2.1.1

Oracle GlassFish Server 3.0.1

Oracle GlassFish Server 3.1.2

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.1.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-3827	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3827
National Vulnerability Database (NVD)
2	CVE-2013-3827	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3827

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	Name	URL
Hitachi Software Vulnerability Information
1	hitachi-sec-2019-114	http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2019-114/index.html
Oracle Critical Patch Update
2	Oracle Critical Patch Update Advisory - October 2013	http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html
3	Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html
Oracle Technology Network
4	JavaServer Faces Technology	http://www.oracle.com/technetwork/java/javaee/javaserverfaces-139869.html
Red Hat Security Advisory
5	RHSA-2014:0029	https://rhn.redhat.com/errata/RHSA-2014-0029.html
SECURITY BLOG
6	October 2013 Critical Patch Update Released	https://blogs.oracle.com/security/entry/october_2013_critical_patch_update
ソフトウェア製品セキュリティ情報
7	hitachi-sec-2019-114	http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2019-114/index.html

その他

No	Name	URL
JVN
1	JVNVU#95955023	http://jvn.jp/cert/JVNVU95955023/
US-CERT Vulnerability Note
2	VU#526012	http://www.kb.cert.org/vuls/id/526012

Change Log

No	Changed Details	Date of change
0	[2013年10月17日] 掲載 [2013年10月23日] タイトル：内容を更新概要：内容を更新対策：内容を更新ベンダ情報：オラクル (JavaServer Faces Technology) を追加参考情報：JVN (JVNVU#95955023) を追加参考情報：US-CERT Vulnerability Note (VU#526012) を追加 [2015年08月06日] ベンダ情報：レッドハット (RHSA-2014:0029) を追加	Feb. 17, 2018, 10:37 a.m.
1	[2019年07月16日] ベンダ情報：日立 (hitachi-sec-2019-114) を追加	July 16, 2019, 10:58 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:fusion_middleware:3.1.2:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:3.0.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:10.3.6:::::::*
cpe:2.3:a:oracle:fusion_middleware:2.1.1:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.3.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.2.0.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.2.4.0:::::::*