【活用ガイド】

JVNDB-2011-001275

PivotX において第三者にパスワードを変更される脆弱性

概要

ウェブコンテンツ管理システムの PivotX には、第三者によってパスワードを変更される脆弱性が存在します。

PivotX には、第三者によってユーザ名を推測された場合、パスワードを変更される脆弱性が存在します。
開発者によると、PivotX 2.2.4 で既に本脆弱性は修正されていますが、ユーザは速やかに最新版の PivotX 2.2.5 へアップデートすることが推奨されています。

なお、本脆弱性を使用した攻撃が観測されています。
詳しくは、開発者が提供する情報をご確認ください。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


PivotX
  • PivotX 2.2.3 およびそれ以前

想定される影響

細工された URL を使用することで、遠隔の第三者が PivotX に admin 権限でアクセスする可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに PivotX 2.2.5 にアップデートしてください。
ベンダ情報

PivotX
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 証明書・パスワードの管理(CWE-255) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-1035
参考情報

  1. JVN : JVNVU#175068
  2. National Vulnerability Database (NVD) : CVE-2011-1035
  3. US-CERT Vulnerability Note : VU#175068
  4. Secunia Advisory : SA43417
  5. ISS X-Force Database : 65539
  6. VUPEN Security : VUPEN/ADV-2011-0445
更新履歴

  • [2011年03月24日]
      掲載

公表日2011/02/21
登録日2011/03/24
最終更新日2011/03/24