| タイトル | WoW Raid Manager の auth/auth_phpbb3.php における認証を回避される脆弱性 |
|---|---|
| 概要 | WoW Raid Manager の auth/auth_phpbb3.php の password_check 関数は、PHPBB3 認証が使用されている際、以下の不備があるため、認証を回避される、および任意のパスワードで権限を取得される脆弱性が存在します。 (1) 必須の引数と共に CheckPassword 関数を呼び出さないため、認証失敗を発生させる (2) 認証失敗が発生する場合、false の代わりに true を返す |
| 想定される影響 | 第三者により、認証を回避される、および任意のパスワードで権限を取得される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2008年10月13日0:00 |
| 登録日 | 2012年12月20日19:10 |
| 最終更新日 | 2012年12月20日19:10 |
| CVSS2.0 : 危険 | |
| スコア | 7.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| wowraidmanager |
| wowraidmanager Patch 1 未満の 3.5.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | The password_check function in auth/auth_phpbb3.php in WoW Raid Manager 3.5.1 before Patch 1, when using PHPBB3 authentication, (1) does not invoke the CheckPassword function with the required arguments, which always triggers an authentication failure, and (2) returns true instead of false when an authentication failure occurs, which allows remote attackers to bypass authentication and gain privileges with an arbitrary password. |
|---|---|
| 公表日 | 2009年8月24日19:30 |
| 登録日 | 2021年1月29日13:51 |
| 最終更新日 | 2009年8月24日19:30 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:wowraidmanager:wowraidmanager:3.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:wowraidmanager:wowraidmanager:3.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:wowraidmanager:wowraidmanager:3.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:wowraidmanager:wowraidmanager:3.5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:wowraidmanager:wowraidmanager:*:*:*:*:*:*:*:* | 3.5.1 | ||||