製品・ソフトウェアに関する情報

JVN脆弱性詳細

Joomla! のメディアマネージャの administrator/components/com_media/helpers/media.php におけるアクセス制限を回避される脆弱性

タイトル	Joomla! のメディアマネージャの administrator/components/com_media/helpers/media.php におけるアクセス制限を回避される脆弱性
概要	Joomla! のメディアマネージャの administrator/components/com_media/helpers/media.php には、アクセス制限を回避され、危険な拡張子のファイルをアップロードされる脆弱性が存在します。なお、本脆弱性への攻撃が 2013 年 8 月に観測されています。
想定される影響	リモート認証されたユーザ、または第三者により、末尾に . (ドット) を含むファイル名を介して、アクセス制限を回避され、危険な拡張子のファイルをアップロードされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年7月31日0:00
登録日	2013年10月11日10:47
最終更新日	2013年10月31日17:52

影響を受けるシステム

Joomla!

Joomla! 2.5.14 未満の 2.5.x

Joomla! 3.1.5 未満の 3.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-5576	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5576
National Vulnerability Database (NVD)
2	CVE-2013-5576	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5576

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
GitHub
1	Prepare 2.5.14 release	https://github.com/joomla/joomla-cms/commit/fa5645208eefd70f521cd2e4d53d5378622133d8
2	Prepare 3.1.5 release	https://github.com/joomla/joomla-cms/commit/1ed07e257a2c0794ba19e864f7c5101e7e8c41d2
Joomla!
3	[20130801] - Core - Unauthorised Uploads	http://developer.joomla.org/security/563-20130801-core-unauthorised-uploads.html

その他

No	名前	URL
JVN
1	JVNVU#99659350	http://jvn.jp/cert/JVNVU99659350/index.html
US-CERT Vulnerability Note
2	VU#639620	http://www.kb.cert.org/vuls/id/639620

変更履歴

No	変更内容	変更日
0	[2013年10月11日] 掲載 [2013年10月31日] 参考情報：JVN (JVNVU#99659350) を追加参考情報：US-CERT Vulnerability Note (VU#639620) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-5576

概要	administrator/components/com_media/helpers/media.php in the media manager in Joomla! 2.5.x before 2.5.14 and 3.x before 3.1.5 allows remote authenticated users or remote attackers to bypass intended access restrictions and upload files with dangerous extensions via a filename with a trailing . (dot), as exploited in the wild in August 2013.
公表日	2013年10月9日23:54
登録日	2021年1月26日15:45
最終更新日	2024年11月21日10:57

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://developer.joomla.org/security/563-20130801-core-unauthorised-uploads.html
2	http://developer.joomla.org/security/563-20130801-core-unauthorised-uploads.html
3	http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=31626
4	http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=31626
5	http://seclists.org/oss-sec/2013/q3/484
6	http://seclists.org/oss-sec/2013/q3/484
7	http://seclists.org/oss-sec/2013/q3/486
8	http://seclists.org/oss-sec/2013/q3/486
9	http://www.cso.com.au/article/523528/joomla_patches_file_manager_vulnerability_responsible_hijacked_websites/
10	http://www.cso.com.au/article/523528/joomla_patches_file_manager_vulnerability_responsible_hijacked_websites/
11	http://www.exploit-db.com/exploits/27610	Exploit
12	http://www.exploit-db.com/exploits/27610	Exploit
13	http://www.kb.cert.org/vuls/id/639620	US Government Resource
14	http://www.kb.cert.org/vuls/id/639620	US Government Resource
15	https://github.com/joomla/joomla-cms/commit/1ed07e257a2c0794ba19e864f7c5101e7e8c41d2
16	https://github.com/joomla/joomla-cms/commit/1ed07e257a2c0794ba19e864f7c5101e7e8c41d2
17	https://github.com/joomla/joomla-cms/commit/fa5645208eefd70f521cd2e4d53d5378622133d8	Exploit Patch
18	https://github.com/joomla/joomla-cms/commit/fa5645208eefd70f521cd2e4d53d5378622133d8	Exploit Patch

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html