JVNDB-2007-006255
|
PHP Project Management におけるディレクトリトラバーサルの脆弱性
|
|
PHP Project Management には、ディレクトリトラバーサルの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
phppm
- php project management 0.8.10 およびそれ以前
|
|
|
第三者により、.. (ドットドット) を含む以下のパラメータを介して、任意のローカルファイルをインクルードおよび実行される可能性があります。
(1) modules/files/list.php への def_lang パラメータ
(2) modules/projects/summary.inc.php への m_path パラメータ
(3) modules/tasks/summary.inc.php への m_path パラメータ
(4) modules/projects/list.php への module パラメータ
(5) modules/ の配下の certinfo サブディレクトリの index.php への module パラメータ
(6) modules/ の配下の emails サブディレクトリの index.php への module パラメータ
(7) modules/ の配下の events サブディレクトリの index.php への module パラメータ
(8) modules/ の配下の fax サブディレクトリの index.php への module パラメータ
(9) modules/ の配下の files サブディレクトリの index.php への module パラメータ
(10) modules/ の配下の groupadm サブディレクトリの index.php への module パラメータ
(11) modules/ の配下の history サブディレクトリの index.php への module パラメータ
(12) modules/ の配下の info サブディレクトリの index.php への module パラメータ
(13) modules/ の配下の log サブディレクトリの index.php への module パラメータ
(14) modules/ の配下の mail サブディレクトリの index.php への module パラメータ
(15) modules/ の配下の messages サブディレクトリの index.php への module パラメータ
(16) modules/ の配下の organizations サブディレクトリの index.php への module パラメータ
(17) modules/ の配下の phones サブディレクトリの index.php への module パラメータ
(18) modules/ の配下の presence サブディレクトリの index.php への module パラメータ
(19) modules/ の配下の projects サブディレクトリの index.php への module パラメータ
(20) modules/ の配下の reports サブディレクトリの index.php への module パラメータ
(21) modules/ の配下の search サブディレクトリの index.php への module パラメータ
(22) modules/ の配下の snf サブディレクトリの index.php への module パラメータ
(23) modules/ の配下の syslog サブディレクトリの index.php への module パラメータ
(24) modules/ の配下の tasks サブディレクトリの index.php への module パラメータ
(25) modules/ の配下の useradm サブディレクトリの index.php への module パラメータ
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
phppm
|
|
- パス・トラバーサル(CWE-22) [NVD評価]
|
|
- CVE-2007-5642
|
|
- National Vulnerability Database (NVD) : CVE-2007-5642
|
|
|
