| タイトル | Bugzilla の token.cgi におけるパスワードを発見される脆弱性 |
|---|---|
| 概要 | Bugzilla の token.cgi には、パスワードリセットの直後に発生するログインセッションの先頭に URL 内のパスワードを配置するため、パスワードを発見される脆弱性が存在します。 |
| 想定される影響 | 攻撃者により、以下を読まれることで、パスワードを発見される可能性があります。 (1) Web サーバのアクセスログ (2) Web サーバの Referer ログ (3) ブラウザの履歴 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2009年9月11日0:00 |
| 登録日 | 2012年9月25日17:27 |
| 最終更新日 | 2012年9月25日17:27 |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| Mozilla Foundation |
| Bugzilla 3.4rc1 から 3.4.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年09月25日] 掲載 |
2018年2月17日10:37 |
| 概要 | token.cgi in Bugzilla 3.4rc1 through 3.4.1 places a password in a URL at the beginning of a login session that occurs immediately after a password reset, which allows context-dependent attackers to discover passwords by reading (1) web-server access logs, (2) web-server Referer logs, or (3) the browser history. |
|---|---|
| 概要 | token.cgi en Bugzilla v3.4rc1 hasta v3.4.1 coloca una contraseña en una URL al comienzo del inicio de sesión que ocurre inmediatamente después del restablecimiento de la contraseña, lo que permite dependiendo del contexto a atacantes descubrir contraseñas leyendo (1) logs de acceso del servidor web, (2) logs Referer del servidor web, o (3) el historial del navegador. |
| 公表日 | 2009年9月16日7:30 |
| 登録日 | 2021年1月29日13:22 |
| 最終更新日 | 2026年4月23日9:35 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:mozilla:bugzilla:3.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:bugzilla:3.4:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:mozilla:bugzilla:3.4.1:*:*:*:*:*:*:* | |||||