JVNVU#93939159
PaperThin CommonSpot に複数の脆弱性

PaperThin が提供する CommonSpot には、複数の脆弱性が存在します。

• CommonSpot version 7.0.2 より前のバージョン
• CommonSpot version 8.0.3 より前のバージョン
• CommonSpot version 9.0 より前のバージョン

PaperThin が提供する CommonSpot には、次のような複数の脆弱性が存在します。

• CWE-425: Direct Request ('Forced Browsing')
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
• CWE-284: Improper Access Control.
• CWE-285: Improper Authorization
• CWE-73: External Control of File Name or Path
• CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
• CWE-158: Improper Neutralization of Null Byte or NUL Character
• CWE-602: Client-Side Enforcement of Server-Side Security
• CWE-434: Unrestricted Upload of File with Dangerous Type
• CWE-472: External Control of Assumed-Immutable Web Parameter
• CWE-200: Information Exposure
• CWE-312: Cleartext Storage of Sensitive Information
• CWE-319: Cleartext Transmission of Sensitive Information
• CWE-548: Information Exposure Through Directory Listing
• CWE-532: Information Exposure Through Log Files
• CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

想定される影響は各脆弱性により異なりますが、SYSTEM 権限で任意のコードを実行されるなどの可能性があります。

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

なお、CERT/CC Vulnerability Note VU#437385 では、セキュリティ強化のために /commonspot へのアクセスを制限することを推奨しています。