NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2017-3183

概要	Sage XRT Treasury, version 3, fails to properly restrict database access to authorized users, which may enable any authenticated user to gain full access to privileged database functions. Sage XRT Treasury is a business finance management application. Database user access privileges are determined by the USER_CODE field associated with the querying user. By modifying the USER_CODE value to match that of a privileged user, a low-privileged, authenticated user may gain privileged access to the SQL database. A remote, authenticated user can submit specially crafted SQL queries to gain privileged access to the application database.
公表日	2018年7月25日0:29
登録日	2021年1月26日13:23
最終更新日	2024年11月21日12:24

CVSS3.0 : HIGH
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	低
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	6.5
ベクター	AV:N/AC:L/Au:S/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	単一
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:sage:xrt_treasury:3.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.kb.cert.org/vuls/id/742632		Third Party Advisory US Government Resource
2	https://www.kb.cert.org/vuls/id/742632		Third Party Advisory US Government Resource
3	https://www.securityfocus.com/bid/96477		Third Party Advisory VDB Entry
4	https://www.securityfocus.com/bid/96477		Third Party Advisory VDB Entry

共通脆弱性一覧

JVN脆弱性情報

Sage XRT Treasury にアクセス制限不備の脆弱性

タイトル	Sage XRT Treasury にアクセス制限不備の脆弱性
概要	Sage XRT Treasury には、認証されたユーザが誰でも特権ユーザの権限でデータベースにアクセス可能な脆弱性が存在します。ユーザ制御のキーによる認証回避 (CWE-639) Sage XRT Treasury は、ビジネス用の財務管理アプリケーションです。Sage XRT Treasury のデータベースへのアクセス権限は、ユーザに紐づけられた USER_CODE フィールドによって決定されます。Sage XRT Treasury にアクセスする際、USER_CODE フィールドを特権ユーザの値に差し替えることで、権限の低いユーザが SQL データベースに特権ユーザの権限でアクセスすることが可能です。
想定される影響	細工した SQL クエリを処理することで、低い権限しか与えられていないユーザが、当該製品のデータベースに特権ユーザの権限でアクセスする可能性があります。
対策	[アップグレードする] 開発者が提供する情報をもとに、最新版にアップグレードし、データベースサーバへの通信を暗号化してください。開発者によると、本脆弱性は Sage XRT Treasury version 4 で修正しているとのことです。
公表日	2017年2月28日0:00
登録日	2017年3月2日15:15
最終更新日	2019年7月24日16:15

影響を受けるシステム

Sage

Sage XRT Treasury version 3

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-3183	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3183
2	CVE-2017-3183	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3183
National Vulnerability Database (NVD)
3	CVE-2017-3183	https://nvd.nist.gov/vuln/detail/CVE-2017-3183
4	CVE-2017-3183	https://nvd.nist.gov/vuln/detail/CVE-2017-3183

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-639	https://cwe.mitre.org/data/definitions/639.html
2	CWE-639	https://cwe.mitre.org/data/definitions/639.html

ベンダー情報

No	名前	URL
Sage
1	Sage XRT Treasury	http://www.sagetreasury.com/Products/Sage%20XRT%20Treasury
2	Sage XRT Treasury	http://www.sagetreasury.com/Products/Sage%20XRT%20Treasury

その他

No	名前	URL
JVN
1	JVNVU#95946252	http://jvn.jp/vu/JVNVU95946252/index.html
2	JVNVU#95946252	http://jvn.jp/vu/JVNVU95946252/index.html
US-CERT Vulnerability Note
3	VU#742632	http://www.kb.cert.org/vuls/id/742632
4	VU#742632	http://www.kb.cert.org/vuls/id/742632

変更履歴

No	変更内容	変更日
0	[2017年03月02日] 掲載	2018年2月17日10:37
1	[2019年07月24日] 参考情報：National Vulnerability Database (NVD) (CVE-2017-3183) を追加	2019年7月24日16:15