JVNDB-2014-002948

JVNDB-2014-002948
F5 ARX Data Manager に SQL インジェクションの脆弱性
概要
F5 Networks が提供する ARX Data Manager には、SQL インジェクション (CWE-89) の脆弱性が存在します。 CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') http://cwe.mitre.org/data/definitions/89.html
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.5 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

F5 Networks ARX Data Manager 3.0.0 から 3.1.0 まで

想定される影響
当該製品にログイン可能なユーザによって、当該製品が参照しているデータベース上で任意の SQL コマンドを実行される可能性があります。
対策
[ARX Data Manager を使用しない] ARX Data Manager 3.x はサポートを終了しています。開発者が提供する情報をもとに、ARX Data Manager の使用を停止してください。サポートを終了 http://support.f5.com/kb/en-us/solutions/public/14000/700/sol14791.html 開発者が提供する情報 http://support.f5.com/kb/en-us/solutions/public/15000/300/sol15310.html?sr=38021626
ベンダ情報
F5 Networks Policy : SOL14791 - End of Software Development for Data Manager 3.x Security Advisory : SOL15310 - Data Manager SQL Injection Remote Code Execution vulnerability CVE-2014-2949
CWEによる脆弱性タイプ一覧 CWEとは?
SQLインジェクション(CWE-89) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-2949
参考情報
JVN : JVNVU#91561766 National Vulnerability Database (NVD) : CVE-2014-2949 US-CERT Vulnerability Note : VU#210884
更新履歴
[2014年06月18日] 掲載 [2014年06月23日] 参考情報：National Vulnerability Database (NVD) (CVE-2014-2949) を追加


公表日	2014/06/17
登録日	2014/06/18
最終更新日	2014/06/23

F5 ARX Data Manager に SQL インジェクションの脆弱性