公開日:2008/08/21 最終更新日:2008/09/03
JVN#53886050
La!cooda WIZ および LacoodaST において任意の PHP スクリプトの実行が可能な脆弱性
La!cooda WIZ および LacoodaST には、任意の PHP スクリプトの実行が可能な脆弱性が存在します。
- La!cooda WIZ 1.4.0 およびそれ以前
- LacoodaST 2.1.3 およびそれ以前
詳しくはベンダが提供する情報をご確認ください。
株式会社システム・コンサルタンツが提供する La!cooda WIZ および株式会社スペースタグが提供する LacoodaST は、スケジュール管理、行動計画表、会議室予約等の機能を備えたグループウェアです。La!cooda WIZ および LacoodaST には、悪意ある利用者が任意の PHP スクリプトを La!cooda WIZ や LacoodaST サーバ権限で実行可能な脆弱性が存在します。
任意の PHP スクリプトを実行された結果、サーバ内のファイルが漏洩したり、削除されたりする可能性があります。
アップデートする
ベンダが提供する情報をもとに最新版へアップデートしてください。
詳しくはベンダが提供する情報をご確認ください。
ベンダ | リンク |
株式会社スペースタグ | LacoodaSTの脆弱性に関するお知らせ |
2008.08.21における脆弱性分析結果
評価尺度 | 攻撃成立条件 | 評価値 |
---|---|---|
攻撃経路 | インターネット経由からの攻撃が可能 |
|
認証レベル | システムに正規登録されている一般ユーザのアカウントが必要 |
|
攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:片桐 弘敬 氏
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE |
CVE-2008-3737 |
JVN iPedia |
JVNDB-2008-000049 |
- 2008/09/03
- 関連文書に JVN iPedia へのリンクを追加しました。