NVD脆弱性詳細

CVE-2018-10899

概要	A flaw was found in Jolokia versions from 1.2 to before 1.6.1. Affected versions are vulnerable to a system-wide CSRF. This holds true for properly configured instances with strict checking for origin and referrer headers. This could result in a Remote Code Execution attack.
公表日	2019年8月1日23:15
登録日	2021年3月1日18:44
最終更新日	2024年11月21日12:42

CVSS3.0 : HIGH
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:jolokia:jolokia::::::::		1.2.0			1.6.1

構成2		以上	以下	より上	未満
cpe:2.3:a:redhat:openstack:13:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://access.redhat.com/errata/RHSA-2019:2413	Third Party Advisory
2	https://access.redhat.com/errata/RHSA-2019:2413	Third Party Advisory
3	https://access.redhat.com/errata/RHSA-2019:2804
4	https://access.redhat.com/errata/RHSA-2019:2804
5	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10899	Issue Tracking Third Party Advisory
6	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10899	Issue Tracking Third Party Advisory
7	https://jolokia.org/changes-report.html#a1.6.1	Release Notes Vendor Advisory
8	https://jolokia.org/changes-report.html#a1.6.1	Release Notes Vendor Advisory
9	https://lists.apache.org/thread.html/1392fbebb4fbbec379a40d16e1288fe1e4c0289d257e5206051a3793%40%3Cissues.activemq.apache.org%3E
10	https://lists.apache.org/thread.html/1392fbebb4fbbec379a40d16e1288fe1e4c0289d257e5206051a3793%40%3Cissues.activemq.apache.org%3E
11	https://lists.apache.org/thread.html/r46f6dbc029f49e1f638c6eb82accb94b7f990d818cb3b3bc0007dd0a%40%3Cissues.activemq.apache.org%3E
12	https://lists.apache.org/thread.html/r46f6dbc029f49e1f638c6eb82accb94b7f990d818cb3b3bc0007dd0a%40%3Cissues.activemq.apache.org%3E
13	https://lists.apache.org/thread.html/r64701caec91c43efd7416d6bddef88447371101e00e8562741ede262%40%3Cissues.activemq.apache.org%3E
14	https://lists.apache.org/thread.html/r64701caec91c43efd7416d6bddef88447371101e00e8562741ede262%40%3Cissues.activemq.apache.org%3E
15	https://lists.apache.org/thread.html/r67cdc50af9caf89c9ebe1bde08393a343dcd89edba1c63677f68f43b%40%3Cissues.activemq.apache.org%3E
16	https://lists.apache.org/thread.html/r67cdc50af9caf89c9ebe1bde08393a343dcd89edba1c63677f68f43b%40%3Cissues.activemq.apache.org%3E
17	https://lists.apache.org/thread.html/rc169dac018d07e8ddf2a3bb2fd1efc6cbda4f83f1bbf7a8c798e7f4f%40%3Cissues.activemq.apache.org%3E
18	https://lists.apache.org/thread.html/rc169dac018d07e8ddf2a3bb2fd1efc6cbda4f83f1bbf7a8c798e7f4f%40%3Cissues.activemq.apache.org%3E
19	https://lists.apache.org/thread.html/rdb0a59d7851e721b75beea13d6488e345a3e2735838e89d9269d7d32%40%3Cissues.activemq.apache.org%3E
20	https://lists.apache.org/thread.html/rdb0a59d7851e721b75beea13d6488e345a3e2735838e89d9269d7d32%40%3Cissues.activemq.apache.org%3E
21	https://lists.apache.org/thread.html/rf33ffbba619a4281ce592a6ed259c07a557aefb4975619d83c4122ea%40%3Cissues.activemq.apache.org%3E
22	https://lists.apache.org/thread.html/rf33ffbba619a4281ce592a6ed259c07a557aefb4975619d83c4122ea%40%3Cissues.activemq.apache.org%3E

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN脆弱性情報

Jolokia におけるクロスサイトリクエストフォージェリの脆弱性

タイトル	Jolokia におけるクロスサイトリクエストフォージェリの脆弱性
概要	Jolokia には、クロスサイトリクエストフォージェリの脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2018年7月13日0:00
登録日	2019年8月9日16:25
最終更新日	2019年8月9日16:25

影響を受けるシステム

レッドハット

Red Hat OpenStack

Jolokia

Jolokia 1.2 以上 1.6.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-10899	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10899
National Vulnerability Database (NVD)
2	CVE-2018-10899	https://nvd.nist.gov/vuln/detail/CVE-2018-10899

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	名前	URL
Jolokia
1	Release History	https://jolokia.org/changes-report.html#a1.6.1
Red Hat Bugzilla
2	Bug 1601037	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10899
Red Hat Security Advisory
3	RHSA-2019:2413	https://access.redhat.com/errata/RHSA-2019:2413

変更履歴

No	変更内容	変更日
1	[2019年08月09日] 掲載	2019年8月9日16:25