製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache ActiveMQ のファイルサーバ Web アプリケーションにおける任意のファイルをアップロードされる脆弱性

タイトル	Apache ActiveMQ のファイルサーバ Web アプリケーションにおける任意のファイルをアップロードされる脆弱性
概要	Apache ActiveMQ のファイルサーバ Web アプリケーションには、任意のファイルをアップロードされ、実行される脆弱性が存在します。
想定される影響	第三者により、後に HTTP MOVE リクエストが続く HTTP PUT を介して、任意のファイルをアップロードされ、実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年5月23日0:00
登録日	2016年6月3日14:29
最終更新日	2016年6月3日14:29

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

Apache Software Foundation

Apache ActiveMQ 5.14.0 未満の 5.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Apache ActiveMQ
1	CVE-2016-3088 - ActiveMQ Fileserver web application vulnerabilities	http://activemq.apache.org/security-advisories.data/CVE-2016-3088-announcement.txt
Common Vulnerabilities and Exposures (CVE)
2	CVE-2016-3088	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3088
National Vulnerability Database (NVD)
3	CVE-2016-3088	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3088

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Apache ActiveMQ
1	Index of /security-advisories.data	http://activemq.apache.org/security-advisories.data/

変更履歴

No	変更内容	変更日
0	[2016年06月03日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-3088

概要	The Fileserver web application in Apache ActiveMQ 5.x before 5.14.0 allows remote attackers to upload and execute arbitrary files via an HTTP PUT followed by an HTTP MOVE request.
公表日	2016年6月2日5:59
登録日	2021年1月26日14:10
最終更新日	2024年11月21日11:49

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:activemq::::::::		5.0.0			5.14.0

関連情報、対策とツール

No	URL	タグ
1	http://activemq.apache.org/security-advisories.data/CVE-2016-3088-announcement.txt	Vendor Advisory
2	http://activemq.apache.org/security-advisories.data/CVE-2016-3088-announcement.txt	Vendor Advisory
3	http://rhn.redhat.com/errata/RHSA-2016-2036.html	Third Party Advisory
4	http://rhn.redhat.com/errata/RHSA-2016-2036.html	Third Party Advisory
5	http://www.securitytracker.com/id/1035951	Broken Link Third Party Advisory VDB Entry
6	http://www.securitytracker.com/id/1035951	Broken Link Third Party Advisory VDB Entry
7	http://www.zerodayinitiative.com/advisories/ZDI-16-356	Third Party Advisory VDB Entry
8	http://www.zerodayinitiative.com/advisories/ZDI-16-356	Third Party Advisory VDB Entry
9	http://www.zerodayinitiative.com/advisories/ZDI-16-357	Third Party Advisory VDB Entry
10	http://www.zerodayinitiative.com/advisories/ZDI-16-357	Third Party Advisory VDB Entry
11	https://lists.apache.org/thread.html/a859563f05fbe7c31916b3178c2697165bd9bbf5a65d1cf62aef27d2%40%3Ccommits.activemq.apache.org%3E	Mailing List Patch
12	https://lists.apache.org/thread.html/a859563f05fbe7c31916b3178c2697165bd9bbf5a65d1cf62aef27d2%40%3Ccommits.activemq.apache.org%3E	Mailing List Patch
13	https://lists.apache.org/thread.html/f956ea38e4da2e2c1e7131e6f91e41754852f5a4861d1a14ca5ca78a%40%3Cusers.activemq.apache.org%3E	Issue Tracking Mailing List
14	https://lists.apache.org/thread.html/f956ea38e4da2e2c1e7131e6f91e41754852f5a4861d1a14ca5ca78a%40%3Cusers.activemq.apache.org%3E	Issue Tracking Mailing List
15	https://lists.apache.org/thread.html/r6d03e45b81eab03580cf7f8bb51cb3e9a1b10a2cc0c6a2d3cc92ed0c%40%3Cannounce.apache.org%3E	Mailing List Vendor Advisory
16	https://lists.apache.org/thread.html/r6d03e45b81eab03580cf7f8bb51cb3e9a1b10a2cc0c6a2d3cc92ed0c%40%3Cannounce.apache.org%3E	Mailing List Vendor Advisory
17	https://www.exploit-db.com/exploits/42283/	Exploit Third Party Advisory VDB Entry
18	https://www.exploit-db.com/exploits/42283/	Exploit Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-434	危険なタイプのファイルの無制限アップロード	https://cwe.mitre.org/data/definitions/434.html