NVD Vulnerability Detail

CVE-2017-6803

Summary	Multiple cross-site request forgery (CSRF) vulnerabilities in the web interface in the Scheduler in SolarWinds (formerly Serv-U) FTP Voyager 16.2.0 allow remote attackers to hijack the authentication of users for requests that (1) change the admin password, (2) terminate the scheduler, or (3) possibly execute arbitrary commands via crafted requests to Admin/XML/Result.xml.
Publication Date	March 21, 2017, 1:59 a.m.
Registration Date	Jan. 26, 2021, 1:27 p.m.
Last Update	Nov. 21, 2024, 12:30 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:solarwinds:ftp_voyager:16.2.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://hyp3rlinx.altervista.org/advisories/FTP-VOYAGER-SCHEDULER-CSRF-REMOTE-CMD-EXECUTION.txt	Exploit Third Party Advisory
2	http://hyp3rlinx.altervista.org/advisories/FTP-VOYAGER-SCHEDULER-CSRF-REMOTE-CMD-EXECUTION.txt	Exploit Third Party Advisory
3	http://packetstormsecurity.com/files/141567/FTP-Voyager-Scheduler-16.2.0-CSRF-Denial-Of-Service.html	Exploit Third Party Advisory VDB Entry
4	http://packetstormsecurity.com/files/141567/FTP-Voyager-Scheduler-16.2.0-CSRF-Denial-Of-Service.html	Exploit Third Party Advisory VDB Entry
5	http://www.securityfocus.com/bid/96814	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/96814	Third Party Advisory VDB Entry
7	https://www.exploit-db.com/exploits/41574/	Exploit Third Party Advisory VDB Entry
8	https://www.exploit-db.com/exploits/41574/	Exploit Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN Vulnerability Information

SolarWinds FTP Voyager の Scheduler の Web インターフェースにおけるクロスサイトリクエストフォージェリの脆弱性

Title	SolarWinds FTP Voyager の Scheduler の Web インターフェースにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	SolarWinds (旧 Serv-U) FTP Voyager の Scheduler の Web インターフェースには、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	リモートの攻撃者により、Admin/XML/Result.xml に対する巧妙に細工されたリクエストを介して、ユーザの認証をハイジャックされ、(1) 管理者のパスワードを変更される、(2) Scheduler を終了される、または (3) 任意のコマンドを実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	March 9, 2017, midnight
Registration Date	April 18, 2017, 10:37 a.m.
Last Update	April 18, 2017, 10:37 a.m.

Affected System

SolarWinds

FTP Voyager Scheduler 16.2.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-6803	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6803
National Vulnerability Database (NVD)
2	CVE-2017-6803	https://nvd.nist.gov/vuln/detail/CVE-2017-6803

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
SolarWinds
1	Using the FTP Voyager Scheduler - KB Article #1035	http://www.serv-u.com/kb/1035/using-the-ftp-voyager-scheduler

その他

No	Name	URL
関連文書
1	FTP Voyager Scheduler 16.2.0 CSRF / Denial Of Service	https://packetstormsecurity.com/files/141567/FTP-Voyager-Scheduler-16.2.0-CSRF-Denial-Of-Service.html

Change Log

No	Changed Details	Date of change
0	[2017年04月18日] 掲載	Feb. 17, 2018, 10:37 a.m.