製品・ソフトウェアに関する情報

JVN脆弱性詳細

PivotX において第三者にパスワードを変更される脆弱性

タイトル	PivotX において第三者にパスワードを変更される脆弱性
概要	ウェブコンテンツ管理システムの PivotX には、第三者によってパスワードを変更される脆弱性が存在します。 PivotX には、第三者によってユーザ名を推測された場合、パスワードを変更される脆弱性が存在します。開発者によると、PivotX 2.2.4 で既に本脆弱性は修正されていますが、ユーザは速やかに最新版の PivotX 2.2.5 へアップデートすることが推奨されています。なお、本脆弱性を使用した攻撃が観測されています。詳しくは、開発者が提供する情報をご確認ください。
想定される影響	細工された URL を使用することで、遠隔の第三者が PivotX に admin 権限でアクセスする可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに PivotX 2.2.5 にアップデートしてください。
公表日	2011年2月21日0:00
登録日	2011年3月24日14:46
最終更新日	2011年3月24日14:46

影響を受けるシステム

PivotX

PivotX 2.2.3 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-1035	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1035
National Vulnerability Database (NVD)
2	CVE-2011-1035	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1035

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html

ベンダー情報

No	名前	URL
PivotX
1	2.2.5 has been released - a highly recommended upgrade	http://forum.pivotx.net/viewtopic.php?f=2&t=1961
2	PIVOTX Blog – PivotX 2.2.5 released	http://blog.pivotx.net/archive/2011/02/16/pivotx-225-released
3	PivotX Support Community – I have been hacked - now what?	http://forum.pivotx.net/viewtopic.php?f=2&t=1967

その他

No	名前	URL
ISS X-Force Database
1	65539	http://xforce.iss.net/xforce/xfdb/65539
JVN
2	JVNVU#175068	http://jvn.jp/cert/JVNVU175068
Secunia Advisory
3	SA43417	http://secunia.com/advisories/43417
US-CERT Vulnerability Note
4	VU#175068	http://www.kb.cert.org/vuls/id/175068
VUPEN Security
5	VUPEN/ADV-2011-0445	http://www.vupen.com/english/advisories/2011/0445

変更履歴

No	変更内容	変更日
0	[2011年03月24日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-1035

概要	The password reset in PivotX before 2.2.4 allows remote attackers to modify the passwords of arbitrary users via unspecified vectors.
公表日	2011年2月19日10:00
登録日	2021年1月28日16:38
最終更新日	2024年11月21日10:25

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://blog.pivotx.net/2011-02-16/pivotx-225-released	Patch
2	http://forum.pivotx.net/viewtopic.php?f=2&t=1961	Patch
3	http://forum.pivotx.net/viewtopic.php?f=2&t=1967	Patch
4	http://forum.pivotx.net/viewtopic.php?p=10639#p10639
5	http://osvdb.org/70935
6	http://secunia.com/advisories/43417	Vendor Advisory
7	http://www.kb.cert.org/vuls/id/175068	US Government Resource
8	http://www.securityfocus.com/bid/46463
9	http://www.vupen.com/english/advisories/2011/0445	Vendor Advisory
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/65539
11	http://blog.pivotx.net/2011-02-16/pivotx-225-released	Patch
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/65539
13	http://www.vupen.com/english/advisories/2011/0445	Vendor Advisory
14	http://www.securityfocus.com/bid/46463
15	http://www.kb.cert.org/vuls/id/175068	US Government Resource
16	http://secunia.com/advisories/43417	Vendor Advisory
17	http://osvdb.org/70935
18	http://forum.pivotx.net/viewtopic.php?p=10639#p10639
19	http://forum.pivotx.net/viewtopic.php?f=2&t=1967	Patch
20	http://forum.pivotx.net/viewtopic.php?f=2&t=1961	Patch

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-255	証明書・パスワード管理	https://cwe.mitre.org/data/definitions/255.html