JVNDB-2013-006206
|
ownCloud におけるクロスサイトリクエストフォージェリの脆弱性
|
|
ownCloud には、クロスサイトリクエストフォージェリの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
ownCloud
- ownCloud 4.0.12 未満
- ownCloud 4.5.7 未満の 4.5.x
|
|
|
第三者により、ユーザの認証をハイジャックされ、以下を実行される可能性があります。
(1) apps/calendar/ajax/settings/guesstimezone.php の lat および lng パラメータを介して、ユーザのタイムゾーンを変更される
(2) apps/calendar/ajax/settings/timezonedetection.php の timezonedetection パラメータを介して、自動タイムゾーンの検出を無効または有効にされる
(3) apps/admin_migrate/settings.php の admin_export パラメータを介して、ユーザアカウントをインポートされる
(4) apps/user_migrate/ajax/export.php の operation パラメータを介して、ユーザのファイルを上書きされる
(5) apps/user_ldap/settings.php の不特定の要素を介して、認証サーバの URL を変更される
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
ownCloud
|
|
- クロスサイトリクエストフォージェリ(CWE-352) [NVD評価]
|
|
- CVE-2013-0299
|
|
- National Vulnerability Database (NVD) : CVE-2013-0299
|
|
|
