JVNDB-2012-004105

JVNDB-2012-004105
ownCloud におけるクロスサイトリクエストフォージェリの脆弱性
概要
ownCloud には、クロスサイトリクエストフォージェリの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 6.8 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

ownCloud ownCloud 4.0.6 未満

想定される影響
第三者により、下記のファイルへのリクエストに対する任意のユーザ認証をハイジャックされる可能性があります。 bookmarks/ajax/ 内の以下のファイル (1) addBookmark.php、(2) delBookmark.php、(3) editBookmark.php calendar/ajax/ 内の以下のファイル (4) calendar/delete.php、(5) calendar/edit.php、(6) calendar/new.php、(7) calendar/update.php、 (8) event/delete.php、(9) event/edit.php、(10) event/move.php、(11) event/new.php、(12) import/import.php、(13) settings/setfirstday.php、(14) settings/settimeformat.php、(15) share/changepermission.php、(16) share/share.php、(17) share/unshare.php apps/ 内の以下のファイル (18) external/ajax/setsites.php、(19) files/ajax/delete.php、(20) files/ajax/move.php、(21) files/ajax/newfile.php、(22) files/ajax/newfolder.php、(23) files/ajax/rename.php、(24) files_sharing/ajax/email.php、(25) files_sharing/ajax/setpermissions.php、(26) files_sharing/ajax/share.php、(27) files_sharing/ajax/toggleresharing.php、(28) files_sharing/ajax/togglesharewitheveryone.php、(29) files_sharing/ajax/unshare.php、(30) files_texteditor/ajax/savefile.php、(31) files_versions/ajax/rollbackVersion.php、(32) gallery/ajax/createAlbum.php、(33) gallery/ajax/sharing.php、(34) tasks/ajax/addtask.php、(35) tasks/ajax/addtaskform.php、(36) tasks/ajax/delete.php、(37) tasks/ajax/edittask.php また、下記のファイルへのリクエストに対する管理者認証をハイジャックされる可能性があります。 settings/ajax/ 内の以下のファイル (38) changepassword.php、(39) creategroup.php、(40) createuser.php、(41) disableapp.php、(42) enableapp.php、(43) lostpassword.php、(44) removegroup.php、(45) removeuser.php、(46) setlanguage.php、(47) setloglevel.php、(48) setquota.php、(49) togglegroups.php
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
ownCloud GitHub : CSRF checks GitHub : Added CSRF checks ownCloud : Top Page ownCloud : Changelog ownCloud : Several CSRF security fixes (CVE-2012-4393)
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトリクエストフォージェリ(CWE-352) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-4393
参考情報
National Vulnerability Database (NVD) : CVE-2012-4393
更新履歴
[2012年09月07日] 掲載 [2012年12月19日] ベンダ情報：ownCloud (Several CSRF security fixes (CVE-2012-4393)) を追加


公表日	2012/08/01
登録日	2012/09/07
最終更新日	2012/12/19

ownCloud におけるクロスサイトリクエストフォージェリの脆弱性