NVD脆弱性詳細

CVE-2014-2988

概要	EGroupware Enterprise Line (EPL) before 1.1.20140505, EGroupware Community Edition before 1.8.007.20140506, and EGroupware before 14.1 beta allows remote authenticated administrators to execute arbitrary PHP code via crafted callback values to the call_user_func PHP function, as demonstrated using the newsettings[system] parameter. NOTE: this can be exploited by remote attackers by leveraging CVE-2014-2987.
公表日	2014年10月27日10:55
登録日	2021年1月26日15:09
最終更新日	2024年11月21日11:07

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:egroupware:egroupware::::::::		1.6.001
cpe:2.3:a:egroupware:egroupware:::::community:::*		1.8006

関連情報、対策とツール

No	URL	タグ
1	http://advisories.mageia.org/MGASA-2014-0221.html
2	http://advisories.mageia.org/MGASA-2014-0221.html
3	http://www.mandriva.com/security/advisories?name=MDVSA-2015:087
4	http://www.mandriva.com/security/advisories?name=MDVSA-2015:087
5	http://www.securityfocus.com/archive/1/532103/100/0/threaded
6	http://www.securityfocus.com/archive/1/532103/100/0/threaded
7	https://www.htbridge.com/advisory/HTB23212	Exploit
8	https://www.htbridge.com/advisory/HTB23212	Exploit

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

JVN脆弱性情報

複数の EGroupware 製品における任意の PHP コードを実行される脆弱性

タイトル	複数の EGroupware 製品における任意の PHP コードを実行される脆弱性
概要	EGroupware Enterprise Line (EPL)、EGroupware Community Edition および EGroupware には、任意の PHP コードを実行される脆弱性が存在します。
想定される影響	リモート認証された管理者により、call_user_func PHP 関数の巧妙に細工されたコールバック値を介して、任意の PHP コードを実行される可能性があります。また、CVE-2014-2987 の脆弱性を利用されることで、第三者により悪用される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年5月6日0:00
登録日	2014年10月29日15:49
最終更新日	2015年6月23日17:37

影響を受けるシステム

EGroupware

EGroupware 14.1 beta 未満

EGroupware Community Edition 1.8.007.20140506 未満

EGroupware Enterprise Line 1.1.20140505 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-2988	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2988
National Vulnerability Database (NVD)
2	CVE-2014-2988	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2988

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
EGroupware
1	ChangeLog	http://www.egroupware.org/hilfe/developers-logbooks/changelog-eplce-141.html
EGroupware Community Forum
2	EGroupware SECURITY and bugfix release 1.8.007	http://www.egroupware.org/get-help/egroupware-community-forum.html#nabble-td3997580

その他

No	名前	URL
関連文書
1	HTB23212	https://www.htbridge.com/advisory/HTB23212
2	MGASA-2014-0221	http://advisories.mageia.org/MGASA-2014-0221.html

変更履歴

No	変更内容	変更日
0	[2014年10月29日] 掲載 [2015年06月23日] 参考情報：関連文書 (MGASA-2014-0221) を追加	2018年2月17日10:37