JVNDB-2008-003181

Exero CMS におけるディレクトリトラバーサルの脆弱性

Exero CMS には、ディレクトリトラバーサルの脆弱性が存在します。

exerocms

• exero cms 1.0.0 および 1.0.1

第三者により、以下のファイルへの .. (ドットドット) を含む theme パラメータを介して、任意のローカルファイルをインクルードされる、および実行される可能性があります。
(1) themes/Default/ 配下の custompage.php
(2) themes/Default/ 配下の errors/404.php
(3) themes/Default/ 配下の members/memberslist.php
(4) themes/Default/ 配下の members/profile.php
(5) themes/Default/ 配下の news/fullview.php
(6) themes/Default/ 配下の news/index.php
(7) themes/Default/ 配下の nopermission.php
(8) themes/Default/ 配下の usercp/avatar.php
(9) themes/Default/ 配下の usercp/editpassword.php

ベンダ情報および参考情報を参照して適切な対策を実施してください。

exerocms

• exerocms : Top Page

1. パス・トラバーサル(CWE-22) [NVD評価]

1. CVE-2008-2840

1. National Vulnerability Database (NVD) : CVE-2008-2840

• [2012年06月26日]
    掲載