JVNDB-2015-003479
|
複数の EMC Documentum 製品における任意のコードを実行される脆弱性
|
|
複数の EMC Documentum 製品には、ファイルを無制限にアップロードされることにより、任意のコードを実行される脆弱性が存在します。
補足情報 : CWE による脆弱性タイプは、CWE-434: Unrestricted Upload of File with Dangerous Type (危険なタイプのファイルの無制限アップロード) と識別されています。
http://cwe.mitre.org/data/definitions/434.html
|
|
CVSS v2 による深刻度
基本値: 6.5 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
DELL EMC (旧 EMC Corporation)
- EMC Documentum Administrator 6.7SP1P31 未満の 6.7SP1
- EMC Documentum Administrator 6.7SP2P23 未満の 6.7SP2
- EMC Documentum Administrator 7.0P18 未満の 7.0
- EMC Documentum Administrator 7.1P15 未満の 7.1
- EMC Documentum Administrator 7.2P01 未満の 7.2
- EMC Documentum Capital Projects 1.8P22 未満の 1.8 (WebTop 6.7SP1 P31)
- EMC Documentum Capital Projects 1.8P22 未満の 1.8 (WebTop 6.7SP2 P23)
- EMC Documentum Capital Projects 1.9P12 未満の 1.9 (WebTop 6.7SP2 P23)
- EMC Documentum Capital Projects 1.9P12 未満の 1.9 (WebTop 6.8P01)
- EMC Documentum Digital Asset Manager 6.5SP6P25 未満の 6.5SP6
- EMC Documentum TaskSpace 6.7 SP1P31 未満の 6.7 SP1
- EMC Documentum TaskSpace 6.7 SP2P23 未満の 6.7 SP2
- EMC Documentum Web Publisher 6.5SP7P25 未満の 6.5SP7
- EMC Documentum Webtop 6.7SP1P31 未満の 6.7SP1
- EMC Documentum Webtop 6.7SP2P23 未満の 6.7SP2
- EMC Documentum Webtop 6.8P01 未満の 6.8
|
|
|
リモート認証されたユーザにより、バックエンドの Content Server にファイルをアップロードされることで、任意のコードを実行される可能性があります。
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
DELL EMC (旧 EMC Corporation)
|
|
- 危険なタイプのファイルの無制限アップロード(CWE-434) [NVD評価]
|
|
- CVE-2015-4524
|
|
- National Vulnerability Database (NVD) : CVE-2015-4524
- 関連文書 : ESA-2015-111: EMC Documentum WebTop Client Products Multiple Vulnerabilities
|
|
|
