| タイトル | Trac における任意のファイルを読まれるなどの脆弱性 |
|---|---|
| 概要 | Trac は、信頼されないユーザに docutils から再編されたテキスト (reStructuredText) 機能を提供する際、"raw" または "include" コマンドを無効にしないため、任意のファイルを読まれる、クロスサイトスクリプト攻撃を実行される、またはサービス運用妨害 (DoS) 状態となる脆弱性が存在します。 本脆弱性は、CVE-2006-3458 に関連する可能性があります。 |
| 想定される影響 | 第三者により、任意のファイルを読まれる、クロスサイトスクリプト攻撃を実行される、またはサービス運用妨害 (DoS) 状態にされる可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2006年7月21日0:00 |
| 登録日 | 2012年12月20日18:02 |
| 最終更新日 | 2012年12月20日18:02 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| Edgewall Software |
| trac 0.9.6 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | Trac before 0.9.6 does not disable the "raw" or "include" commands when providing untrusted users with restructured text (reStructuredText) functionality from docutils, which allows remote attackers to read arbitrary files, perform cross-site scripting (XSS) attacks, or cause a denial of service via unspecified vectors. NOTE: this might be related to CVE-2006-3458. |
|---|---|
| 概要 | Upgrade to 0.9.6 |
| 公表日 | 2006年7月21日23:03 |
| 登録日 | 2021年1月29日15:42 |
| 最終更新日 | 2017年7月20日10:32 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:edgewall_software:trac:*:*:*:*:*:*:*:* | 0.9.5 | ||||