NVD脆弱性詳細

CVE-2014-2044

概要	Incomplete blacklist vulnerability in ajax/upload.php in ownCloud before 5.0, when running on Windows, allows remote authenticated users to bypass intended access restrictions, upload files with arbitrary names, and execute arbitrary code via an Alternate Data Stream (ADS) syntax in the filename parameter, as demonstrated using .htaccess::$DATA to upload a PHP program.
公表日	2014年10月7日8:55
登録日	2021年1月26日15:07
最終更新日	2024年11月21日11:05

CVSS2.0 : HIGH
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:owncloud:owncloud:4.0.3:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.0:::::::*
cpe:2.3:a:owncloud:owncloud::::::::		4.5.13
cpe:2.3:a:owncloud:owncloud:4.5.12:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.11:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.1:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.13:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.11:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.3:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.10:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.7:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.9:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.14:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.8:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.1:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.6:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.5:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.16:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.0:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.2:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.2:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.0:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.10:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.2:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.9:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.7:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.4:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.4:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.12:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.15:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.8:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.3:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.5:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.6:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.1:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://packetstormsecurity.com/files/125585/ownCloud-4.0.x-4.5.x-Remote-Code-Execution.html	Exploit
2	http://packetstormsecurity.com/files/125585/ownCloud-4.0.x-4.5.x-Remote-Code-Execution.html	Exploit
3	http://seclists.org/fulldisclosure/2014/Mar/45
4	http://seclists.org/fulldisclosure/2014/Mar/45
5	http://secunia.com/advisories/57267
6	http://secunia.com/advisories/57267
7	http://www.exploit-db.com/exploits/32162	Exploit
8	http://www.exploit-db.com/exploits/32162	Exploit
9	http://www.osvdb.org/104082
10	http://www.osvdb.org/104082
11	http://www.securityfocus.com/archive/1/531365/100/0/threaded
12	http://www.securityfocus.com/archive/1/531365/100/0/threaded
13	http://www.securityfocus.com/bid/66000
14	http://www.securityfocus.com/bid/66000
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/91757
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/91757
17	https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2044/	Exploit
18	https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2044/	Exploit

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

JVN脆弱性情報

ownCloud の ajax/upload.php におけるアクセス制限を回避される脆弱性

タイトル	ownCloud の ajax/upload.php におけるアクセス制限を回避される脆弱性
概要	ownCloud の ajax/upload.php には、Windows 上で稼動する場合、不完全なブラックリストにより、アクセス制限を回避される、任意の名前を持つファイルをアップロードされる、および任意のコードを実行される脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、filename パラメータの Alternate Data Stream (ADS) 構文を介して、アクセス制限を回避される、任意の名前を持つファイルをアップロードされる、および任意のコードを実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2014年3月4日0:00
登録日	2014年10月8日17:56
最終更新日	2014年10月8日17:56

影響を受けるシステム

ownCloud

ownCloud 5.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-2044	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2044
National Vulnerability Database (NVD)
2	CVE-2014-2044	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2044

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
ownCloud
1	Top Page	http://owncloud.jp/

その他

No	名前	URL
関連文書
1	Vulnerability title: Remote Code Execution In ownCloud	https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2044/

変更履歴

No	変更内容	変更日
0	[2014年10月08日] 掲載	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:owncloud:owncloud:4.0.3:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.0:::::::*
cpe:2.3:a:owncloud:owncloud::::::::		4.5.13
cpe:2.3:a:owncloud:owncloud:4.5.12:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.11:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.1:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.13:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.11:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.3:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.10:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.7:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.9:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.14:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.8:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.1:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.6:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.5:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.16:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.0:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.2:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.2:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.0:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.10:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.2:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.9:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.7:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.4:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.4:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.12:::::::*
cpe:2.3:a:owncloud:owncloud:4.0.15:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.8:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.3:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.5:::::::*
cpe:2.3:a:owncloud:owncloud:4.5.6:::::::*
cpe:2.3:a:owncloud:owncloud:3.0.1:::::::*