製品・ソフトウェアに関する情報

JVN脆弱性詳細

WordPress 用 ForumPress WP Forum Server プラグインにおける SQL インジェクションの脆弱性

タイトル	WordPress 用 ForumPress WP Forum Server プラグインにおける SQL インジェクションの脆弱性
概要	WordPress 用 ForumPress WP Forum Server プラグインの fs-admin/fs-admin.php には、SQL インジェクションの脆弱性が存在します。
想定される影響	第三者により、editgroup アクションの groupid パラメータを介して、任意の SQL コマンドを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年4月18日0:00
登録日	2014年1月21日16:09
最終更新日	2014年1月21日16:09

影響を受けるシステム

VastHTML

WP Forum Server 1.7.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-6625	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6625
National Vulnerability Database (NVD)
2	CVE-2012-6625	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6625

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	名前	URL
VastHTML
1	Top Page	http://vasthtml.com/
WordPress.org
2	Changeset 532918	https://plugins.trac.wordpress.org/changeset/532918
3	WP Forum Server	http://wordpress.org/plugins/forum-server/changelog/

変更履歴

No	変更内容	変更日
0	[2014年01月21日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-6625

概要	SQL injection vulnerability in fs-admin/fs-admin.php in the ForumPress WP Forum Server plugin before 1.7.4 for WordPress allows remote attackers to execute arbitrary SQL commands via the groupid parameter in an editgroup action.
公表日	2014年1月17日6:55
登録日	2021年1月28日15:08
最終更新日	2024年11月21日10:46

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:vasthtml:forumpress:1.5.1:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.9:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.3:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.8:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7.1:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.5:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.0:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.3:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.5:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.4:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.5.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.6:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.1:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.7:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7.3:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress::-:-::-:wordpress::		1.7.4
cpe:2.3:a:vasthtml:forumpress:1.6.4:-:-::-:wordpress::*

構成1	以上	以下	より上	未満
cpe:2.3:a:vasthtml:forumpress:1.5.1:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.9:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.3:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.8:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7.1:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.5:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.0:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.3:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.5:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.4:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.5.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.6:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.1:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6.7:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7.3:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.6:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress:1.7.2:-:-::-:wordpress::*
cpe:2.3:a:vasthtml:forumpress::-:-::-:wordpress::		1.7.4
cpe:2.3:a:vasthtml:forumpress:1.6.4:-:-::-:wordpress::*

No	URL	タグ
1	http://packetstormsecurity.org/files/112703/WordPress-WP-Forum-Server-1.7.3-SQL-Injection-Cross-Site-Scripting.html
2	http://packetstormsecurity.org/files/112703/WordPress-WP-Forum-Server-1.7.3-SQL-Injection-Cross-Site-Scripting.html
3	http://wordpress.org/extend/plugins/forum-server/changelog/	Patch Vendor Advisory
4	http://wordpress.org/extend/plugins/forum-server/changelog/	Patch Vendor Advisory
5	http://www.securityfocus.com/bid/53530
6	http://www.securityfocus.com/bid/53530
7	https://plugins.trac.wordpress.org/changeset/532918
8	https://plugins.trac.wordpress.org/changeset/532918