公開日:2013/01/15 最終更新日:2013/01/15
JVNVU#92883152
DOMIT! RSS を使用している製品に情報漏えいの脆弱性
DOMIT! RSS を使用している製品には、情報漏えいの脆弱性が存在します。
DOMIT! RSS の testing_domitrss.php を含む製品
DOMIT! RSS には、テスト用のスクリプトファイルが含まれています。このスクリプトファイルを含む製品には、入力された URL の処理に起因する、情報漏えいの脆弱性が存在します。
遠隔の第三者によって、任意のローカルファイルが取得される可能性があります。
testing_domitrss.php を削除する
当該製品から testing_domitrss.php を削除してください。
アップデートする
各開発者が提供する情報をもとに、最新版へアップデートしてください。
- SugarCRM が提供する情報によると、同様の問題について version 4.5.1j および version 5.0.0c で修正しているとのことです。
- VU#338956 によると、trixbox 2.8 では、testing_domitrss.php は削除されているとのことです。
| ベンダ | リンク |
| DOMIT! RSS Parser for PHP | Project summary page |
| SugarCRM | SugarCRM - Local File Disclosure |
| trixbox | trixbox Information for VU#338956 |
-
US-CERT Vulnerability Note VU#338956
DOMIT! RSS testing_domitrss.php discloses local files -
SANS Internet Storm Center Diary 2009-02-01
Scanning for Trixbox vulnerabilities
2013.01.15における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
| 攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
