JVNDB-2009-003027
|
V-webmail における PHP リモートファイルインクルージョンの脆弱性
|
|
V-webmail には、PHP リモートファイルインクルージョンの脆弱性が存在します。
本脆弱性の includes/mailaccess/pop3.php への CONFIG[pear_dir] パラメータは、CVE-2006-2666 と重複する可能性があります。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
christof bruyland
|
|
|
第三者により、以下のパラメータ内の URL を介して、任意の PHP コードを実行される可能性があります。
(a) includes/pear/ 内の Mail/RFC822.php への CONFIG[pear_dir] パラメータ
(b) includes/pear/ 内の Net/Socket.php への CONFIG[pear_dir] パラメータ
(c) includes/pear/ 内の XML/Parser.php への CONFIG[pear_dir] パラメータ
(d) includes/pear/ 内の XML/Tree.php への CONFIG[pear_dir] パラメータ
(e) includes/pear/ 内の Mail/mimeDecode.php への CONFIG[pear_dir] パラメータ
(f) includes/pear/ 内の Console/Getopt.php への CONFIG[pear_dir] パラメータ
(g) includes/pear/ 内の System.php への CONFIG[pear_dir] パラメータ
(h) includes/pear/ 内の Log.php への CONFIG[pear_dir] パラメータ
(i) includes/pear/ 内の File.php in includes/pear/ への CONFIG[pear_dir] パラメータ
(j) includes/prepend.php への CONFIG[pear_dir] パラメータ
(k) includes/cachedConfig.php への CONFIG[pear_dir] パラメータ
(l) in includes/ 内の prepend.php への CONFIG[includes] パラメータ
(m) in includes/ 内のemail.list.search.php への CONFIG[includes] パラメータ
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
christof bruyland
|
|
- コード・インジェクション(CWE-94) [NVD評価]
|
|
- CVE-2008-6840
|
|
- National Vulnerability Database (NVD) : CVE-2008-6840
|
|
|
