公開日:2016/10/07 最終更新日:2016/10/07
JVN#80157683
SetucoCMS における複数の脆弱性
SetucoCMS には、複数の脆弱性が存在します。
- SetucoCMS
SetucoCMSプロジェクトが提供する SetucoCMS は、コンテンツ管理システム (CMS) です。SetucoCMS には、次の複数の脆弱性が存在します。
- クロスサイトリクエストフォージェリ - CVE-2016-4891
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 5.4 CVSS v2 AV:N/AC:H/Au:N/C:P/I:P/A:N 基本値: 4.0 - クロスサイトスクリプティング - CVE-2016-4892
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値: 6.1 CVSS v2 AV:N/AC:M/Au:N/C:N/I:P/A:N 基本値: 4.3 - SQL インジェクション - CVE-2016-4893
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L 基本値: 6.3 CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:P 基本値: 6.5 - サービス運用妨害 (DoS) - CVE-2016-4894
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 5.3 CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:P 基本値: 5.0 - コードインジェクション - CVE-2016-4895
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L 基本値: 6.3 CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:P 基本値: 6.5 - セッション管理不備 - CVE-2016-4896
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 4.2 CVSS v2 AV:N/AC:H/Au:N/C:P/I:P/A:N 基本値: 4.0
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 設定変更など、ユーザの意図しない操作を実行される - CVE-2016-4891
- ユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2016-4892
- 任意の SQL 文を実行される - CVE-2016-4893
- サービス運用妨害 (DoS) 攻撃を受ける - CVE-2016-4894
- 任意のコードを実行される - CVE-2016-4895
- 情報が漏えいしたり、情報を改ざんされたりする - CVE-2016-4896
SetucoCMS を使用しない
SetucoCMS の開発およびサポートは終了しています。
SetucoCMS の使用を停止してください。
| ベンダ | リンク |
| SetucoCMSプロジェクト | 【開発終了】SetucoCMS (セツコシーエムエス) - OSDN |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
CVE-2016-4891, CVE-2016-4892
報告者: 馬場 将次 氏、三井物産セキュアディレクション 小河 哲之 氏
CVE-2016-4893, CVE-2016-4894, CVE-2016-4895
報告者: 馬場 将次 氏
CVE-2016-4896
報告者: 三井物産セキュアディレクション 小河 哲之 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2016-4891 |
|
CVE-2016-4892 |
|
|
CVE-2016-4893 |
|
|
CVE-2016-4894 |
|
|
CVE-2016-4895 |
|
|
CVE-2016-4896 |
|
| JVN iPedia |
JVNDB-2016-000196 |
|
JVNDB-2016-000197 |
|
|
JVNDB-2016-000198 |
|
|
JVNDB-2016-000199 |
|
|
JVNDB-2016-000200 |
|
|
JVNDB-2016-000201 |
