製品・ソフトウェアに関する情報
脆弱性検索
ManageEngine OpStor に複数の脆弱性
タイトル ManageEngine OpStor に複数の脆弱性
概要

Zoho が提供する ManageEngine OpStor には、複数の脆弱性が存在します。 Zoho が提供する ManageEngine OpStor には、ユーザ権限の管理の問題 (CWE-472) およびクロスサイトスクリプティングの脆弱性 (CWE-79) が存在します。 CWE-472: External Control of Assumed-Immutable Web Parameter http://cwe.mitre.org/data/definitions/472.html CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') http://cwe.mitre.org/data/definitions/79.html

想定される影響 遠隔の第三者によって、情報を取得されたり、データベースを改ざんされたり、ユーザのウェブブラウザ上で任意のスクリプトを実行されたりする可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日 2014年3月27日0:00
登録日 2014年3月28日16:43
最終更新日 2014年4月1日18:27
CVSS2.0 : 警告
スコア 6.5
ベクター AV:N/AC:L/Au:S/C:P/I:P/A:P
影響を受けるシステム
Zoho Corporation
ManageEngine OpStor Build 8500 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年03月28日]
  掲載
[2014年04月01日]
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2014-0344) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2014-0344
概要

Properties.do in ZOHO ManageEngine OpStor before build 8500 does not properly check privilege levels, which allows remote authenticated users to obtain Admin access by using the name parameter in conjunction with a true value of the edit parameter.

公表日 2014年3月30日5:55
登録日 2021年1月26日15:04
最終更新日 2024年11月21日11:01
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:zohocorp:manageengine_opstor:*:*:*:*:*:*:*:* 8.3
関連情報、対策とツール
共通脆弱性一覧