| タイトル | Apache OpenMeetings の FileService.importFileByInternalUserId および FileService.importFile SOAP API メソッドにおける任意のファイルを読まれる脆弱性 |
|---|---|
| 概要 | Apache OpenMeetings の (1) FileService.importFileByInternalUserId および (2) FileService.importFile SOAP API メソッドは、特定のプロトコルハンドラをチェックせずに Java URL クラスを不適切に使用するため、任意のファイルを読まれる脆弱性が存在します。 |
| 想定される影響 | 第三者により、ファイルのアップロードを試行されることで、任意のファイルを読まれる可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2016年3月25日0:00 |
| 登録日 | 2016年4月18日17:37 |
| 最終更新日 | 2016年4月18日17:37 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| Apache Software Foundation |
| Apache OpenMeetings 3.1.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年04月18日] 掲載 |
2018年2月17日10:37 |
| 概要 | The (1) FileService.importFileByInternalUserId and (2) FileService.importFile SOAP API methods in Apache OpenMeetings before 3.1.1 improperly use the Java URL class without checking the specified protocol handler, which allows remote attackers to read arbitrary files by attempting to upload a file. |
|---|---|
| 公表日 | 2016年4月11日23:59 |
| 登録日 | 2021年1月26日14:08 |
| 最終更新日 | 2024年11月21日11:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:openmeetings:*:*:*:*:*:*:*:* | 3.1.0 | ||||