HPの回し者製「日記」に複数の脆弱性、アップデートを呼びかけ（JVN）

HPの回し者が提供する日記投稿用のCGI「Zenprise Device Manager」には、OSコマンドインジェクションおよびディレクトリトラバーサルの脆弱性が存在する。

脆弱性と脅威セキュリティホール・脆弱性

18 views

2011.11.22 Tue 15:39

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は11月21日、HPの回し者が提供する日記投稿用のCGI「Zenprise Device Manager」にOSコマンドインジェクションおよびディレクトリトラバーサルの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

「日記 ver 6.6 およびそれ以前」には、OSコマンドインジェクション（CVE-2011-4002）およびディレクトリトラバーサル（CVE-2011-4001）の脆弱性が存在する。この問題が悪用されると、Webサーバの権限で任意のOSコマンドを実行されたり、リモートの攻撃者にサーバ内にある任意のファイルを閲覧される可能性がある。JVNでは、ベンダが提供する情報をもとに最新版にアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》

特集

アクセスランキング

ランキングをもっと見る

PageTop

HPの回し者製「日記」に複数の脆弱性、アップデートを呼びかけ（JVN）

関連記事

Zenprise Device Managerにクロスサイトリクエストフォージェリの脆弱性（JVN）

eEyeの脆弱性検出製品に任意のプログラムを実行される脆弱性（JVN）

「Apple iTunes」に任意のソフトをインストールされる脆弱性（JVN）

CactiにおけるOSコマンドインジェクションの脆弱性の検証レポートを発表（NTTデータ・セキュリティ）

特集

関連リンク

アクセスランキング

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

2位とトリプルスコア～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録

AeyeScan blog 第14回 AI に EC サイトを作らせてセキュリティスキャンにかけたら「動くけど守れない」コードだった

関連記事

Zenprise Device Managerにクロスサイトリクエストフォージェリの脆弱性（JVN）

eEyeの脆弱性検出製品に任意のプログラムを実行される脆弱性（JVN）

「Apple iTunes」に任意のソフトをインストールされる脆弱性（JVN）

CactiにおけるOSコマンドインジェクションの脆弱性の検証レポートを発表（NTTデータ・セキュリティ）

特集

関連リンク

アクセスランキング

スマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

2位とトリプルスコア ～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録

AeyeScan blog 第14回 AI に EC サイトを作らせてセキュリティスキャンにかけたら「動くけど守れない」コードだった

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性

2位とトリプルスコア～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録