JVNDB-2018-002189
|
Navarino Infinity のウェブインターフェースにおける複数の脆弱性
|
|
Navarino Infinity のウェブインターフェースには、複数の脆弱性が存在します。
SQL インジェクション (CWE-89) - CVE-2018-5384
Navarino Infinity には、ブラインド SQL インジェクションが可能になる脆弱性が存在します。
セッションの固定化 (CWE-384) - CVE-2018-5385
Navarino Infinity の導入環境によっては、GET パラメータで送信されるセッションIDが利用されるため、二要素認証が回避されセッションの固定化攻撃が行われる可能性があります。
別のパスやチャネルを介した認証回避 (CWE-288) - CVE-2018-5386
特定の URL へのアクセスにより使用可能な機能の一部には、認証を回避して重要な情報を取得される脆弱性が存在します。
|
|
|
|
|
Navarino
- Navarino Infinity version 2.2 およびそれ以前のウェブインターフェース
|
|
|
認証されていない遠隔の第三者によって、認証の回避、アドミニストレータ機能の実行および SQL インジェクションを実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者のウェブサイトによると、すべての Navarino Infinity ユーザに向け、hotfix が提供されているとのことです。
|
|
Navarino
|
|
- 代替パスまたはチャネルを使用した認証回避(CWE-288) [JPCERT/CC評価]
- セッションの固定化(CWE-384) [JPCERT/CC評価]
- SQLインジェクション(CWE-89) [JPCERT/CC評価]
|
|
- CVE-2018-5384
- CVE-2018-5385
- CVE-2018-5386
|
|
- JVN : JVNVU#92541395
- National Vulnerability Database (NVD) : CVE-2018-5384
- National Vulnerability Database (NVD) : CVE-2018-5385
- National Vulnerability Database (NVD) : CVE-2018-5386
- US-CERT Vulnerability Note : VU#184077
|
|
- [2018年03月30日]
掲載
- [2019年07月05日]
参考情報:National Vulnerability Database (NVD) (CVE-2018-5384) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2018-5385) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2018-5386) を追加
|
