製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Alkacon OpenCms の system/workplace/views/admin/admin-main.jsp におけるブロードキャストメッセージを全ユーザへ送信される脆弱性

タイトル	Alkacon OpenCms の system/workplace/views/admin/admin-main.jsp におけるブロードキャストメッセージを全ユーザへ送信される脆弱性
概要	Alkacon OpenCms の system/workplace/views/admin/admin-main.jsp は、管理者機能に対してアクセス制限しないため、以下を実行される脆弱性が存在します。 (1) 全ユーザへブロードキャストメッセージをへ送信される (/workplace/broadcast) (2) 全ユーザをリスト化される (/accounts/users) (3) webusers を追加される (/accounts/webusers/new) (4) インポートおよびエクスポートファイルをデータベースにアップロードされる (/database/importhttp) (5) 任意のプログラムモジュールをアップロードされる (/modules/modules_import) (6) ログファイルを読まれる (/workplace/logfileview)
想定される影響	リモート認証されたユーザにより、admin-main.jsp への直接リクエスト内の path パラメータに適切な値を設定されることで、以下を実行される可能性があります。 (1) 全ユーザへブロードキャストメッセージをへ送信される (/workplace/broadcast) (2) 全ユーザをリスト化される (/accounts/users) (3) webusers を追加される (/accounts/webusers/new) (4) インポートおよびエクスポートファイルをデータベースにアップロードされる (/database/importhttp) (5) 任意のプログラムモジュールをアップロードされる (/modules/modules_import) (6) ログファイルを読まれる (/workplace/logfileview)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2006年7月21日0:00
登録日	2012年12月20日18:02
最終更新日	2012年12月20日18:02

CVSS2.0 : 警告
スコア	6.5
ベクター	AV:N/AC:L/Au:S/C:P/I:P/A:P

影響を受けるシステム

Alkacon Software

OpenCms 6.2.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-3935	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3935
National Vulnerability Database (NVD)
2	CVE-2006-3935	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-3935

ベンダー情報

No	名前	URL
Alkacon Software
1	OpenCms 6.2.2 release notes	http://www.opencms.org/opencms/en/news/oldnews_1002.html

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2006-3935

概要	system/workplace/views/admin/admin-main.jsp in Alkacon OpenCms before 6.2.2 does not restrict access to administrator functions, which allows remote authenticated users to (1) send broadcast messages to all users (/workplace/broadcast), (2) list all users (/accounts/users), (3) add webusers (/accounts/webusers/new), (4) upload database import and export files (/database/importhttp), (5) upload arbitrary program modules (/modules/modules_import), and (6) read the log file (/workplace/logfileview) by setting the appropriate value for the path parameter in a direct request to admin-main.jsp.
公表日	2006年8月1日7:04
登録日	2021年1月29日15:42
最終更新日	2018年10月18日6:32

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:alkacon:opencms:6.0.0:::::::*
cpe:2.3:a:alkacon:opencms:6.0.2:::::::*
cpe:2.3:a:alkacon:opencms:6.0.3:::::::*
cpe:2.3:a:alkacon:opencms:6.0.4:::::::*
cpe:2.3:a:alkacon:opencms:6.2:::::::*
cpe:2.3:a:alkacon:opencms:6.2.1:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://o0o.nu/~meder/OpenCMS_multiple_vulnerabilities.txt	MISC	Patch
2	http://secunia.com/advisories/21193	SECUNIA	Patch Vendor Advisory
3	http://securityreason.com/securityalert/1302	SREASON
4	http://www.opencms.org/export/download/opencms/opencms_6.2.2_src.zip	MISC	Patch
5	http://www.opencms.org/opencms/en/shownews.html?id=1002	MISC	Patch
6	http://www.securityfocus.com/archive/1/441182/100/0/threaded	BUGTRAQ
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/27996	XF
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/28003	XF
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/28010	XF
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/28026	XF
11	https://exchange.xforce.ibmcloud.com/vulnerabilities/28031	XF
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/28036	XF

共通脆弱性一覧