JVNDB-2006-002241
|
WebYep における PHP リモートファイルインクルージョンの脆弱性
|
|
WebYep には、register_globals が有効になっている際、PHP リモートファイルインクルージョンの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 5.1 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Objective Development Software GmbH
|
|
|
第三者により、以下のファイルを含む webyep_sIncludePath を介して、任意の PHP コードを実行される可能性があります。
(a) programm/lib/ ディレクトリの配下の WYApplication.php
(b) programm/lib/ ディレクトリの配下の WYDocument.php
(c) programm/lib/ ディレクトリの配下の WYEditor.php
(d) programm/lib/ ディレクトリの配下の WYElement.php
(e) programm/lib/ ディレクトリの配下の WYFile.php
(f) programm/lib/ ディレクトリの配下の WYHTMLTag.php
(g) programm/lib/ ディレクトリの配下の WYImage.php
(h) programm/lib/ ディレクトリの配下の WYLanguage.php
(i) programm/lib/ ディレクトリの配下の WYLink.php
(j) programm/lib/ ディレクトリの配下の WYPath.php
(k) programm/lib/ ディレクトリの配下の WYPopupWindowLink.php
(l) programm/lib/ ディレクトリの配下の WYSelectMenu.php
(m) programm/lib/ ディレクトリの配下の WYTextArea.php
(n) programm/elements/ ディレクトリの配下の WYGalleryElement.php
(o) programm/elements/ ディレクトリの配下の WYGuestbookElement.php
(p) programm/elements/ ディレクトリの配下の WYImageElement.php
(q) programm/elements/ ディレクトリの配下の WYLogonButtonElement.php
(r) programm/elements/ ディレクトリの配下の WYLongTextElement.php
(s) programm/elements/ ディレクトリの配下の WYLoopElement.php
(t) programm/elements/ ディレクトリの配下の WYMenuElement.php
(u) programm/elements/ ディレクトリの配下の WYShortTextElement.php
(v) programm/webyep.php
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Objective Development Software GmbH
|
|
- コード・インジェクション(CWE-94) [NVD評価]
|
|
- CVE-2006-5220
|
|
- National Vulnerability Database (NVD) : CVE-2006-5220
|
|
|
