| タイトル | Sitecore Staging Module の Staging Webservice における認証を回避される脆弱性 |
|---|---|
| 概要 | Sitecore Staging Module の Staging Webservice ("sitecore modules/staging/service/api.asmx") は、直接リクエストに関する処理に不備があるため、認証を回避される脆弱性が存在します。 |
| 想定される影響 | 第三者により、任意の Username および Password の値を伴う巧妙に細工された SOAP リクエストを介して、認証を回避される、および以下の影響を受ける可能性があります。 (1) ファイルをアップロードされる可能性 (2) ファイルをダウンロードされる可能性 (3) ディレクトをリスト化される可能性 (4) サーバのキャッシュを消去される可能性 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2009年12月21日0:00 |
| 登録日 | 2012年12月20日19:28 |
| 最終更新日 | 2012年12月20日19:28 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| Sitecore |
| staging module 5.4.0 rev.080625 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | The Staging Webservice ("sitecore modules/staging/service/api.asmx") in Sitecore Staging Module 5.4.0 rev.080625 and earlier allows remote attackers to bypass authentication and (1) upload files, (2) download files, (3) list directories, and (4) clear the server cache via crafted SOAP requests with arbitrary Username and Password values, possibly related to a direct request. |
|---|---|
| 公表日 | 2009年12月22日1:30 |
| 登録日 | 2021年1月29日13:26 |
| 最終更新日 | 2018年10月11日4:49 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:sitecore:staging_module:*:080625:*:*:*:*:*:* | 5.4.0 | ||||