製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数のスカイアークシステム製品におけるクロスサイトリクエストフォージェリの脆弱性

タイトル	複数のスカイアークシステム製品におけるクロスサイトリクエストフォージェリの脆弱性
概要	株式会社スカイアークシステムが提供する複数の製品には、クロスサイトリクエストフォージェリの脆弱性が存在します。株式会社スカイアークシステムが提供する MTCMS や複数の Movable Type 用のプラグインには、クロスサイトリクエストフォージェリの脆弱性が存在します。
想定される影響	ユーザが、MTCMS にログインした状態で悪意のあるページを読み込んだ場合、MTCMS で管理している情報を改ざんされる可能性があります。また、【影響を受けるシステム】に記載されているプラグインを組み込んだ Movable Type にログインした状態で悪意のあるページを読み込んだ場合も、同様の影響がある可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日	2011年10月31日0:00
登録日	2011年10月31日12:04
最終更新日	2011年11月8日17:29

影響を受けるシステム

株式会社スカイアークシステム

AuthorEffective version 1.03 およびそれ以前

AutoTagging version 0.08 およびそれ以前

DuplicateEntry version 1.2 およびそれ以前

EntryImExporter version 1.41 およびそれ以前

MailPack version 1.741 およびそれ以前

MTCMS version 5.251 およびそれ以前

MTCMS Enterprise version 5.251 およびそれ以前

MTCMS Smart version 5.251 およびそれ以前

MultiFileUploader version 0.44 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-3994	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3994
National Vulnerability Database (NVD)
2	CVE-2011-3994	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3994

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	名前	URL
株式会社スカイアークシステム
1	MultiFileUploader等、プラグインのセキュリティアップデートの提供を開始しました	http://www.skyarc.co.jp/engineerblog/entry/post_30.html
2	[重要]MTCMS 5.252のリリースおよびセキュリティアップデートの提供を開始	http://www.mtcms.jp/news/product/201110131921.html

その他

No	名前	URL
JVN
1	JVN#56667137	http://jvn.jp/jp/JVN56667137/index.html

変更履歴

No	変更内容	変更日
0	[2011年10月31日] 掲載 [2011年11月08日] 　影響を受けるシステム：製品を追加ベンダ情報：掲載内容を変更	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-3994

概要	Cross-site request forgery (CSRF) vulnerability in SKYARC MTCMS before 5.252, and the MultiFileUploader 0.44 and earlier, DuplicateEntry 1.2 and earlier, MailPack 1.741 and earlier, and AutoTagging 0.08 and earlier plugins for Movable Type, allows remote attackers to hijack the authentication of arbitrary users for requests that modify data.
公表日	2011年11月4日2:55
登録日	2021年1月28日16:39
最終更新日	2024年11月21日10:31

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:skyarc:mtcms:5.251::smart:::::
cpe:2.3:a:skyarc:mtcms:5.251::enterprise:::::
cpe:2.3:a:skyarc:mtcms:5.23:::::::*
cpe:2.3:a:skyarc:mtcms::::::::		5.251
cpe:2.3:a:skyarc:mtcms:5.24:::::::*
cpe:2.3:a:skyarc:mtcms:5.22:::::::*
cpe:2.3:a:skyarc:mtcms:5.2:::::::*
cpe:2.3:a:skyarc:mtcms:5.25::enterprise:::::
cpe:2.3:a:skyarc:multifileuploader::::::::		0.44
cpe:2.3:a:skyarc:autotagging::::::::		0.08
cpe:2.3:a:skyarc:mtcms:5.24::smart:::::
cpe:2.3:a:skyarc:mtcms:5.25::smart:::::
cpe:2.3:a:skyarc:mtcms:5.21:::::::*
cpe:2.3:a:skyarc:mtcms:5.24::enterprise:::::
cpe:2.3:a:skyarc:mailpack::::::::		1.741
cpe:2.3:a:skyarc:duplicateentry::::::::		1.2
cpe:2.3:a:skyarc:mtcms:5.25:::::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:skyarc:mtcms:5.251::smart:::::
cpe:2.3:a:skyarc:mtcms:5.251::enterprise:::::
cpe:2.3:a:skyarc:mtcms:5.23:::::::*
cpe:2.3:a:skyarc:mtcms::::::::		5.251
cpe:2.3:a:skyarc:mtcms:5.24:::::::*
cpe:2.3:a:skyarc:mtcms:5.22:::::::*
cpe:2.3:a:skyarc:mtcms:5.2:::::::*
cpe:2.3:a:skyarc:mtcms:5.25::enterprise:::::
cpe:2.3:a:skyarc:multifileuploader::::::::		0.44
cpe:2.3:a:skyarc:autotagging::::::::		0.08
cpe:2.3:a:skyarc:mtcms:5.24::smart:::::
cpe:2.3:a:skyarc:mtcms:5.25::smart:::::
cpe:2.3:a:skyarc:mtcms:5.21:::::::*
cpe:2.3:a:skyarc:mtcms:5.24::enterprise:::::
cpe:2.3:a:skyarc:mailpack::::::::		1.741
cpe:2.3:a:skyarc:duplicateentry::::::::		1.2
cpe:2.3:a:skyarc:mtcms:5.25:::::::*

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN56667137/index.html
2	http://jvndb.jvn.jp/jvndb/JVNDB-2011-000094
3	http://www.mtcms.jp/news/product/201110131921.html
4	http://jvn.jp/en/jp/JVN56667137/index.html
5	http://www.mtcms.jp/news/product/201110131921.html
6	http://jvndb.jvn.jp/jvndb/JVNDB-2011-000094

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html