JVNVU#94001499
QPR Portal に複数の脆弱性
QPR Portal には、複数の脆弱性が存在します。
影響を受けるシステムのバージョンは脆弱性によって異なります。
CVE-2014-8266 および CVE-2014-8267
- QPR Portal versions 2014.1.1 およびそれ以前
- QPR Portal versions 2012.2.0 およびそれ以前
クロスサイトスクリプティング (CWE-79) - CVE-2014-8266, CVE-2014-8267
ノート作成ページの title および body フィールドの処理に、格納型クロスサイトスクリプティングの脆弱性が存在します。また、RID パラメータの処理に、反射型クロスサイトスクリプティングの脆弱性が存在します。
識別情報を操作することによる認証バイパス (CWE-639) - CVE-2014-8268
URL を直接指定することで、他のユーザのノートを修正したり削除したりすることが可能な脆弱性が存在します。
ユーザのウェブブラウザのコンテキスト上で任意のスクリプトが実行されたり、他のユーザのノートに対して許可されていない操作が実行されたりする可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
クロスサイトスクリプティングの脆弱性 (CVE-2014-8266, CVE-2014-8267) は、修正モジュール QPR Portal 2014.1.1 Hotfix 402288 で修正されているとのことです。開発者は、QPR Portal 2014.1.1 をインストールした後にこの修正モジュールを適用することを推奨しています。なお、QPR Portal 2012.2.1 およびそれ以降は、認証バイパスの脆弱性 (CVE-2014-8268) の影響を受けないとのことです。
| ベンダ | リンク |
| QPR Software Oyj. | Introducing QPR Suite 2014 |
2015.01.26における脆弱性分析結果(CVSS Base Metrics)
| 評価尺度 | 評価値 | 説明 | ||
|---|---|---|---|---|
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | ネットワーク経由でリモートから攻撃可能 |
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に何らかの条件が必要 |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 認証は不要 |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 情報は漏えいしない |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さが部分的に損なわれる |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用は阻害されない |
Base Score:4.3
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2014-8266 |
|
CVE-2014-8267 |
|
|
CVE-2014-8268 |
|
| JVN iPedia |
- 2015/01/26
- 詳細情報の誤字を修正しました。
