| タイトル | 複数の EGroupware 製品における任意の PHP コードを実行される脆弱性 |
|---|---|
| 概要 | EGroupware Enterprise Line (EPL)、EGroupware Community Edition および EGroupware には、任意の PHP コードを実行される脆弱性が存在します。 |
| 想定される影響 | リモート認証された管理者により、call_user_func PHP 関数の巧妙に細工されたコールバック値を介して、任意の PHP コードを実行される可能性があります。 また、CVE-2014-2987 の脆弱性を利用されることで、第三者により悪用される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2014年5月6日0:00 |
| 登録日 | 2014年10月29日15:49 |
| 最終更新日 | 2015年6月23日17:37 |
| CVSS2.0 : 危険 | |
| スコア | 8.5 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:C/I:C/A:C |
| EGroupware |
| EGroupware 14.1 beta 未満 |
| EGroupware Community Edition 1.8.007.20140506 未満 |
| EGroupware Enterprise Line 1.1.20140505 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年10月29日] 掲載 [2015年06月23日] 参考情報:関連文書 (MGASA-2014-0221) を追加 |
2018年2月17日10:37 |
| 概要 | EGroupware Enterprise Line (EPL) before 1.1.20140505, EGroupware Community Edition before 1.8.007.20140506, and EGroupware before 14.1 beta allows remote authenticated administrators to execute arbitrary PHP code via crafted callback values to the call_user_func PHP function, as demonstrated using the newsettings[system] parameter. NOTE: this can be exploited by remote attackers by leveraging CVE-2014-2987. |
|---|---|
| 公表日 | 2014年10月27日10:55 |
| 登録日 | 2021年1月26日15:09 |
| 最終更新日 | 2024年11月21日11:07 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:egroupware:egroupware:*:*:*:*:*:*:*:* | 1.6.001 | ||||
| cpe:2.3:a:egroupware:egroupware:*:*:*:*:community:*:*:* | 1.8006 | ||||