| タイトル | Piwigo の include/functions_rate.inc.php の rate_picture 関数における SQL インジェクションの脆弱性 |
|---|---|
| 概要 | Piwigo の include/functions_rate.inc.php の rate_picture 関数には、数字で始まる非数値の比較において不適切なデータ型に関する処理に不備があるため、SQL インジェクションの脆弱性が存在します。 |
| 想定される影響 | 第三者により、picture.php の rate パラメータを介して、任意の SQL コマンドを実行される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2014年11月21日0:00 |
| 登録日 | 2014年12月24日17:18 |
| 最終更新日 | 2014年12月24日17:18 |
| CVSS2.0 : 危険 | |
| スコア | 7.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Piwigo |
| Piwigo 2.5.5 未満 |
| Piwigo 2.6.4 未満の 2.6.x |
| Piwigo 2.7.2 未満の 2.7.x |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年12月24日] 掲載 |
2018年2月17日10:37 |
| 概要 | SQL injection vulnerability in the rate_picture function in include/functions_rate.inc.php in Piwigo before 2.5.5, 2.6.x before 2.6.4, and 2.7.x before 2.7.2 allows remote attackers to execute arbitrary SQL commands via the rate parameter to picture.php, related to an improper data type in a comparison of a non-numeric value that begins with a digit. |
|---|---|
| 公表日 | 2014年12月23日20:59 |
| 登録日 | 2021年1月26日15:21 |
| 最終更新日 | 2024年11月21日11:20 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:piwigo:piwigo:2.6.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.7.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:*:*:*:*:*:*:*:* | 2.5.5 | ||||
| cpe:2.3:a:piwigo:piwigo:2.7.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.6.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.7.0:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.7.0:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.6.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:piwigo:piwigo:2.7.0:rc2:*:*:*:*:*:* | |||||