| タイトル | Trend Micro InterScan Messaging Security (Virtual Appliance) におけるターミナルコマンドを実行される脆弱性 |
|---|---|
| 概要 | Trend Micro InterScan Messaging Security (Virtual Appliance) には、Web サーバユーザ (root) のコンテキスト内でターミナルコマンドを実行される脆弱性が存在します。 |
| 想定される影響 | Web サーバユーザ (root) のコンテキスト内でターミナルコマンドを実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2017年3月14日0:00 |
| 登録日 | 2017年4月3日17:48 |
| 最終更新日 | 2017年4月3日17:48 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 危険 | |
| スコア | 9 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:C/I:C/A:C |
| トレンドマイクロ |
| InterScan Messaging Security Virtual Appliance 9.1-1600 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年04月03日] 掲載 |
2018年2月17日10:37 |
| 概要 | An issue was discovered in Trend Micro InterScan Messaging Security (Virtual Appliance) 9.1-1600. An authenticated user can execute a terminal command in the context of the web server user (which is root). Besides, the default installation of IMSVA comes with default administrator credentials. The saveCert.imss endpoint takes several user inputs and performs blacklisting. After that, it uses them as arguments to a predefined operating-system command without proper sanitization. However, because of an improper blacklisting rule, it's possible to inject arbitrary commands into it. |
|---|---|
| 公表日 | 2017年3月14日18:59 |
| 登録日 | 2021年1月26日13:27 |
| 最終更新日 | 2024年11月21日12:29 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:trendmicro:interscan_messaging_security_virtual_appliance:9.1-1600:*:*:*:*:*:*:* | |||||