公開日:2011/02/21 最終更新日:2011/03/28

JVNVU#175068
PivotX において第三者にパスワードを変更される脆弱性

概要

ウェブコンテンツ管理システムの PivotX には、第三者によってパスワードを変更される脆弱性が存在します。

影響を受けるシステム

  • PivotX 2.2.3 およびそれ以前

詳細情報

PivotX には、第三者によってユーザ名を推測された場合、パスワードを変更される脆弱性が存在します。
開発者によると、PivotX 2.2.4 で既に本脆弱性は修正されていますが、ユーザは速やかに最新版の PivotX 2.2.5 へアップデートすることが推奨されています。

なお、本脆弱性を使用した攻撃が観測されています。
詳しくは、開発者が提供する情報をご確認ください。

想定される影響

細工された URL を使用することで、遠隔の第三者が PivotX に admin 権限でアクセスする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに PivotX 2.2.5 にアップデートしてください。

ベンダ情報

ベンダ リンク
PIVOTX PivotX Support Community -- I have been hacked - now what?
PIVOTX Blog -- PivotX 2.2.5 released

参考情報

  1. US-CERT Vulnerability Note VU#175068
    PivotX password reset vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-1035
JVN iPedia JVNDB-2011-001275

更新履歴

2011/03/28
関連文書に JVN iPedia へのリンクを追加しました。