| タイトル | Parallels Plesk Panel に任意のコードが実行される脆弱性 |
|---|---|
| 概要 | Parallels Plesk Panel には、任意のコードが実行される脆弱性が存在します。 Parallels Plesk Panel が稼働しているウェブサーバにおいて、phppath のエイリアス設定に関する問題と、CVE-2012-1823 の問題が同時に存在する場合に、任意のコードが実行される可能性があります。 なお、CERT/CC によると、本問題を使用した攻撃活動が行われているとのことです。 |
| 想定される影響 | 遠隔の第三者によって、任意のコードが実行される可能性があります。 |
| 対策 | [アップグレードする] 開発者によると、バージョン 9.0 から 9.2.3 は、サポートが終了しているため、最新版である 11系にアップグレードすることを推奨しています。 [ワークアラウンドを実施する] アップグレードするまでの間、以下の回避策を適用してください。 * 開発者が提供するスクリプトを実行し、Apache の設定を変更する * PHP を最新版にアップデートする なお、開発者によると、現在サポートされているバージョン (9.5.4、10.x、11.x) および既にサポートが終了している 8.x は、本脆弱性の影響を受けないとのことです。 |
| 公表日 | 2013年6月7日0:00 |
| 登録日 | 2013年6月11日11:38 |
| 最終更新日 | 2013年8月6日15:52 |
| CVSS2.0 : 危険 | |
| スコア | 7.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Parallels |
| Parallels Plesk Panel バージョン 9.0 から 9.2.3 までの Linux 版 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年06月11日] 掲載 [2013年07月22日] CVSS による深刻度:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 共通脆弱性識別子(CVE):CVE-ID を追加 参考情報:National Vulnerability Database (NVD) (CVE-2013-4878) を追加 [2013年08月06日] CVSS による深刻度:内容を更新 |
2018年2月17日10:37 |
| 概要 | The default configuration of Parallels Plesk Panel 9.0.x and 9.2.x on UNIX, and Small Business Panel 10.x on UNIX, has an improper ScriptAlias directive for phppath, which makes it easier for remote attackers to execute arbitrary code via a crafted request, a different vulnerability than CVE-2012-1823. |
|---|---|
| 公表日 | 2013年7月19日1:51 |
| 登録日 | 2021年1月26日15:44 |
| 最終更新日 | 2024年11月21日10:56 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:parallels:parallels_plesk_panel:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:parallels:parallels_plesk_panel:9.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:parallels:parallels_small_business_panel:10.0:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | ||||