| タイトル | SolarWinds FTP Voyager の Scheduler の Web インターフェースにおけるクロスサイトリクエストフォージェリの脆弱性 |
|---|---|
| 概要 | SolarWinds (旧 Serv-U) FTP Voyager の Scheduler の Web インターフェースには、クロスサイトリクエストフォージェリの脆弱性が存在します。 |
| 想定される影響 | リモートの攻撃者により、Admin/XML/Result.xml に対する巧妙に細工されたリクエストを介して、ユーザの認証をハイジャックされ、(1) 管理者のパスワードを変更される、(2) Scheduler を終了される、または (3) 任意のコマンドを実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2017年3月9日0:00 |
| 登録日 | 2017年4月18日10:37 |
| 最終更新日 | 2017年4月18日10:37 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| SolarWinds |
| FTP Voyager Scheduler 16.2.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年04月18日] 掲載 |
2018年2月17日10:37 |
| 概要 | Multiple cross-site request forgery (CSRF) vulnerabilities in the web interface in the Scheduler in SolarWinds (formerly Serv-U) FTP Voyager 16.2.0 allow remote attackers to hijack the authentication of users for requests that (1) change the admin password, (2) terminate the scheduler, or (3) possibly execute arbitrary commands via crafted requests to Admin/XML/Result.xml. |
|---|---|
| 公表日 | 2017年3月21日1:59 |
| 登録日 | 2021年1月26日13:27 |
| 最終更新日 | 2024年11月21日12:30 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:solarwinds:ftp_voyager:16.2.0:*:*:*:*:*:*:* | |||||