製品・ソフトウェアに関する情報

JVN脆弱性詳細

ZeroCMS の管理バックエンドの views/zero_transact_user.php における SQL インジェクションの脆弱性

タイトル	ZeroCMS の管理バックエンドの views/zero_transact_user.php における SQL インジェクションの脆弱性
概要	ZeroCMS の管理バックエンドの views/zero_transact_user.php には、SQL インジェクションの脆弱性が存在します。なお、zero_view_article.php の article_id パラメータの問題については、すでに CVE-2014-4034 で報告されています。
想定される影響	リモート認証されたユーザにより、Modify Account アクションの user_id パラメータを介して、任意の SQL コマンドを実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2015年1月23日0:00
登録日	2015年2月16日16:44
最終更新日	2015年2月16日16:44

影響を受けるシステム

Another Awesome Stuff

ZeroCMS 1.3.2

ZeroCMS 1.3.3

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1442	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1442
National Vulnerability Database (NVD)
2	CVE-2015-1442	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1442

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	名前	URL
Another Awesome Stuff
1	ZeroCMS	http://aas9.in/zerocms/

その他

No	名前	URL
関連文書
1	Addition for Advisory SROEADV-2015-14	http://sroesemann.blogspot.de/2015/02/addition-for-advisory-sroeadv-2015-14.html
2	Report for Advisory SROEADV-2015-14	http://sroesemann.blogspot.de/2015/01/report-for-advisory-sroeadv-2015-14.html
3	SQL injection vulnerabilities in zerocms <= v.1.3.3	http://sroesemann.blogspot.de/2015/01/sroeadv-2015-13.html

変更履歴

No	変更内容	変更日
0	[2015年02月16日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-1442

概要	SQL injection vulnerability in views/zero_transact_user.php in the administrative backend in ZeroCMS 1.3.3, 1.3.2, and earlier allows remote authenticated users to execute arbitrary SQL commands via the user_id parameter in a Modify Account action. NOTE: The article_id parameter to zero_view_article.php vector is already covered by CVE-2014-4034.
公表日	2015年2月7日0:59
登録日	2021年1月26日14:46
最終更新日	2024年11月21日11:25

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://packetstormsecurity.com/files/130192/ZeroCMS-1.3.3-SQL-Injection.html	Exploit
2	http://packetstormsecurity.com/files/130192/ZeroCMS-1.3.3-SQL-Injection.html	Exploit
3	http://seclists.org/fulldisclosure/2015/Feb/4	Exploit
4	http://seclists.org/fulldisclosure/2015/Feb/4	Exploit
5	http://seclists.org/oss-sec/2015/q1/379	Exploit
6	http://seclists.org/oss-sec/2015/q1/379	Exploit
7	http://seclists.org/oss-sec/2015/q1/380
8	http://seclists.org/oss-sec/2015/q1/380
9	http://sroesemann.blogspot.de/2015/01/report-for-advisory-sroeadv-2015-14.html	Exploit
10	http://sroesemann.blogspot.de/2015/01/report-for-advisory-sroeadv-2015-14.html	Exploit
11	http://sroesemann.blogspot.de/2015/01/sroeadv-2015-13.html	Exploit
12	http://sroesemann.blogspot.de/2015/01/sroeadv-2015-13.html	Exploit
13	http://sroesemann.blogspot.de/2015/02/addition-for-advisory-sroeadv-2015-14.html	Exploit
14	http://sroesemann.blogspot.de/2015/02/addition-for-advisory-sroeadv-2015-14.html	Exploit
15	http://www.securityfocus.com/bid/72398
16	http://www.securityfocus.com/bid/72398

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html