製品・ソフトウェアに関する情報

JVN脆弱性詳細

MetalGenix GeniXCMS における SQL インジェクションの脆弱性

タイトル	MetalGenix GeniXCMS における SQL インジェクションの脆弱性
概要	MetalGenix GeniXCMS には、SQL インジェクションの脆弱性が存在します。
想定される影響	第三者により、(1) index.php の page パラメータまたは (2) gxadmin/login.php の username パラメータを介して、任意の SQL コマンドを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年3月14日0:00
登録日	2015年3月25日12:25
最終更新日	2015年3月25日12:25

影響を受けるシステム

MetalGenix

GeniXCMS 0.0.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-2679	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2679
National Vulnerability Database (NVD)
2	CVE-2015-2679	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2679

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	名前	URL
GitHub
1	Multiple security issues [xss,sqli,csrf,] #7	https://github.com/semplon/GeniXCMS/issues/7
2	Security FIX, Bug FIX	https://github.com/semplon/GeniXCMS/commit/698245488343396185b1b49e7482ee5b25541815
MetalGenix Blog
3	GeniXCMS v0.0.2 Release - Security and Bug Fixes	http://blog.metalgenix.com/genixcms-v0-0-2-release-security-and-bug-fixes/17
4	Update Security Fix and Add Newsletter Module	http://blog.metalgenix.com/update-security-fix-and-add-newsletter-module/16

変更履歴

No	変更内容	変更日
0	[2015年03月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-2679

概要	Multiple SQL injection vulnerabilities in MetalGenix GeniXCMS before 0.0.2 allow remote attackers to execute arbitrary SQL commands via the (1) page parameter to index.php or (2) username parameter to gxadmin/login.php.
公表日	2015年3月24日1:59
登録日	2021年1月26日14:48
最終更新日	2024年11月21日11:27

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:genixcms:genixcms::::::::			0.0.1

関連情報、対策とツール

No	URL	タグ
1	http://blog.metalgenix.com/genixcms-v0-0-2-release-security-and-bug-fixes/17	Patch
2	http://blog.metalgenix.com/genixcms-v0-0-2-release-security-and-bug-fixes/17	Patch
3	http://blog.metalgenix.com/update-security-fix-and-add-newsletter-module/16	Vendor Advisory
4	http://blog.metalgenix.com/update-security-fix-and-add-newsletter-module/16	Vendor Advisory
5	http://osvdb.org/show/osvdb/119392
6	http://osvdb.org/show/osvdb/119392
7	http://osvdb.org/show/osvdb/119393
8	http://osvdb.org/show/osvdb/119393
9	http://packetstormsecurity.com/files/130770/GeniXCMS-0.0.1-SQL-Injection.html	Exploit
10	http://packetstormsecurity.com/files/130770/GeniXCMS-0.0.1-SQL-Injection.html	Exploit
11	http://www.exploit-db.com/exploits/36321	Exploit
12	http://www.exploit-db.com/exploits/36321	Exploit
13	http://www.securityfocus.com/bid/73297
14	http://www.securityfocus.com/bid/73297
15	http://www.zeroscience.mk/en/vulnerabilities/ZSL-2015-5232.php	Exploit
16	http://www.zeroscience.mk/en/vulnerabilities/ZSL-2015-5232.php	Exploit
17	https://github.com/semplon/GeniXCMS/commit/698245488343396185b1b49e7482ee5b25541815
18	https://github.com/semplon/GeniXCMS/commit/698245488343396185b1b49e7482ee5b25541815
19	https://github.com/semplon/GeniXCMS/issues/7
20	https://github.com/semplon/GeniXCMS/issues/7

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html