| タイトル | MilkyStep におけるアクセス制限不備の脆弱性 |
|---|---|
| 概要 | 株式会社イグレックスが提供する MilkyStep は、メールマガジンの配信・管理を行う CGI です。MilkyStep には、ユーザ情報の管理機能に対するアクセス制限不備の脆弱性 (CWE-284) が存在します。 なお、本脆弱性は JVN#16409640、JVN#74280258 とは異なる問題です。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 草野 一彦 氏 |
| 想定される影響 | 当該製品の管理者でないユーザに、管理者のアカウント情報を変更されるなどの可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください |
| 公表日 | 2015年6月12日0:00 |
| 登録日 | 2015年6月12日12:05 |
| 最終更新日 | 2015年6月16日16:32 |
| CVSS2.0 : 警告 | |
| スコア | 5.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:P/I:P/A:N |
| 株式会社イグレックス |
| MilkyStep Light Ver0.94 およびそれ以前 |
| MilkyStep Professional Ver1.82 およびそれ以前 |
| MilkyStep Professional OEM Ver1.82 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年06月12日] 掲載 [2015年06月16日] 参考情報:National Vulnerability Database (NVD) (CVE-2015-2952) を追加 |
2018年2月17日10:37 |
| 概要 | The user-information management functionality in Igreks MilkyStep Light 0.94 and earlier and Professional 1.82 and earlier allows remote authenticated users to bypass intended access restrictions and modify administrative credentials via unspecified vectors, a different vulnerability than CVE-2015-2953 and CVE-2015-2958. |
|---|---|
| 公表日 | 2015年6月14日0:59 |
| 登録日 | 2021年1月26日14:48 |
| 最終更新日 | 2024年11月21日11:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:igreks:milkystep_professional_oem:*:*:*:*:*:*:*:* | 1.82 | ||||
| cpe:2.3:a:igreks:milkystep_light:*:*:*:*:*:*:*:* | 0.94 | ||||
| cpe:2.3:a:igreks:milkystep_professional:*:*:*:*:*:*:*:* | 1.82 | ||||