製品・ソフトウェアに関する情報
脆弱性検索
Philips Electronics VOIP841 DECT Phone の Web サーバにおけるディレクトリトラバーサルの脆弱性
タイトル Philips Electronics VOIP841 DECT Phone の Web サーバにおけるディレクトリトラバーサルの脆弱性
概要

Philips Electronics VOIP841 DECT Phone の Web サーバには、ディレクトリトラバーサルの脆弱性が存在します。 本脆弱性は、CVE-2008-4874 を利用することで、Skype ユーザ名およびパスワードの資格情報を含む (1) save.dat および (2) apply.log など重要なファイルに対して認証を必要とせずにアクセス可能になります。

想定される影響 リモート認証されたユーザにより、.. (ドットドット) を含む GET リクエストを介して、任意のファイルを読まれる可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日 2008年11月1日0:00
登録日 2012年9月25日17:17
最終更新日 2012年9月25日17:17
CVSS2.0 : 警告
スコア 6.8
ベクター AV:N/AC:L/Au:S/C:C/I:N/A:N
影響を受けるシステム
Koninklijke Philips N.V.
voip841 dect phone firmware 1.0.4.50 および 1.0.4.80
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2012年09月25日]
  掲載		 2018年2月17日10:37
NVD脆弱性情報
CVE-2008-4875
概要

Directory traversal vulnerability in the web server in Philips Electronics VOIP841 DECT Phone with firmware 1.0.4.50 and 1.0.4.80 allows remote authenticated users to read arbitrary files via a .. (dot dot) in a GET request. NOTE: this can be leveraged with CVE-2008-4874 for unauthenticated access to sensitive files such as (1) save.dat and (2) apply.log, which can contain other credentials such as the Skype username and password.

概要

Vulnerabilidad de salto de directorio en el servidor web en Philips Electronics VOIP841 DECT Phone con firmware v1.0.4.50 y v1.0.4.80 permite a usuarios remotamente autentificados leer archivos de su elección mediante un .. (punto punto) en una petición GET. NOTA: esto se puede utilizar con la CVE-2008-4874 para acceso no autentificado a archivos sensibles como (1) save.dat y (2) apply.log, que podrían contener otras credenciales como el nombre y contraseña de Skype.

公表日 2008年11月1日15:00
登録日 2021年1月29日13:44
最終更新日 2026年4月23日9:35
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:h:philips_electronics:voip841_dect_phone:1.0.4.48:*:*:*:*:*:*:*
cpe:2.3:h:philips_electronics:voip841_dect_phone:1.0.4.50:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧