XOOPSのディレクトリトラバーサルの脆弱性を検証(NTTデータ・セキュリティ) | ScanNetSecurity
2026.06.17(水)

XOOPSのディレクトリトラバーサルの脆弱性を検証(NTTデータ・セキュリティ)

 NTTデータ・セキュリティ株式会社は12月15日、XOOPSにおけるディレクトリトラバーサルの脆弱性の再現性について検証を行い、結果を発表した。これは、XOOPSのローカルファイルインクルード処理に欠陥があり、ディレクトリトラバーサル攻撃を受ける脆弱性が発見されたこ

製品・サービス・業界動向 業界動向
28 views
facebookLINE
 NTTデータ・セキュリティ株式会社は12月15日、XOOPSにおけるディレクトリトラバーサルの脆弱性の再現性について検証を行い、結果を発表した。これは、XOOPSのローカルファイルインクルード処理に欠陥があり、ディレクトリトラバーサル攻撃を受ける脆弱性が発見されたことを受けたもの。この脆弱性により、細工されたリクエストを送信することで、ターゲットシステムの任意のローカルファイルが閲覧可能となる。

 同社ではこの脆弱性について、「XOOPS 2.3.1」「PHP 5.2.6」「CentOS 5」による環境で検証を行った。ローカルインクルードの脆弱性を利用して、ターゲットシステムに細工したHTTPリクエストを送信することで、任意のファイルを読み出せるかどうかを検証した。検証の結果、ターゲットシステムに存在するユーザの一覧を取得できた。これにより、悪意のあるユーザにSSH等から当該ユーザに対するオンラインクラックを行われ、システムへの更なる制御の奪取を許す危険性があるとしている。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20081215(xoops).pdf

http://www.nttdata-sec.co.jp/article/vulner.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. アサヒグループホールディングスへのサイバー攻撃、システム障害などの影響で売上収益が想定を 600 億円下回る見込み

    アサヒグループホールディングスへのサイバー攻撃、システム障害などの影響で売上収益が想定を 600 億円下回る見込み

  2. JRAシステムサービスの一部ページで不審な認証画面の表示

    JRAシステムサービスの一部ページで不審な認証画面の表示

  3. 「SUBARUオンラインショップ」で不審な認証画面の表示

    「SUBARUオンラインショップ」で不審な認証画面の表示

  4. SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦

    SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦PR

  5. セキュリティの教科書(反面教師編):社員のメールを覗きたいCEO

    セキュリティの教科書(反面教師編):社員のメールを覗きたいCEO

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP