JVNDB-2015-002964
|
Aptexx Resident Anywhere に機微なアカウント情報が漏えいする脆弱性
|
|
Aptexx Resident Anywhere には、ユーザ認証を行わないため、機微なアカウント情報等の閲覧・変更が可能な脆弱性が存在します。
別のパスやチャンネルを介した認証回避 (CWE-288) - CVE-2014-4882
Aptexx Resident Anywhere は、不動産に関するオンライン決裁やメンテナンスリクエストを受け付けるサービスを提供するアプリケーションです。Aptexx Resident Anywhere は、ユーザのアカウント情報を閲覧・変更する際に認証を要求しません。そのため、アカウント情報にアクセスするための URL を知ることができれば、攻撃者は認証を経ることなくユーザアカウントにアクセスすることができます。アカウントにアクセスすることで、アカウントデータの閲覧や変更、決裁やメンテナンスリクエストの送信が可能です。
CWE-288: Authentication Bypass Using an Alternate Path or Channel
https://cwe.mitre.org/data/definitions/288.html
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
APTEXX
|
|
|
アカウントにアクセスするための特定の URL を知る遠隔の攻撃者によって、ユーザの支払いアカウント番号の下四桁、名前、住所、メールアドレス、電話番号、支払い履歴を取得されます。また、アカウント情報を変更・削除されたり、新しいパスワードを設定されたり、偽のメンテナンスリクエストを送信されたりする可能性があります。
|
|
2015年6月9日現在、対策方法は不明です。以下のワークアラウンドの適用を検討してください。
[機微な情報を保存しない]
当該製品に支払い関連の情報(クレジットカード番号、銀行口座番号)等の機微な情報を保存しないでください。
|
|
APTEXX
|
|
- その他(CWE-Other) [IPA評価]
- 不適切な認証(CWE-287) [NVD評価]
|
|
- CVE-2014-4882
|
|
- JVN : JVNVU#97743379
- National Vulnerability Database (NVD) : CVE-2014-4882
- US-CERT Vulnerability Note : VU#595884
|
|
- [2015年06月10日]
掲載
[2015年06月24日]
参考情報:National Vulnerability Database (NVD) (CVE-2014-4882) を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
|
