公開日:2007/01/25 最終更新日:2007/01/25

JVN#82258242
ショッピングバスケットプロにおける OS コマンドインジェクションの脆弱性
緊急

概要


CGI RESCUE より提供されているショッピングバスケットプロ v7には、入力内容の検査処理が適正に行われないことによる OS コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

 

  • ショッピングバスケットプロ v7.50 およびそれ以前

    詳しくはベンダの提供する情報をご確認下さい。

    • 詳細情報

    想定される影響


    ショッピングバスケットプロ v7 を設置したサーバ上で、遠隔の第三者によって任意の OS コマンドを実行される可能性があります。

    対策方法

    ベンダ情報

    ベンダ リンク
    CGI RESCUE CGI RESCUE - ネットサーフレスキューWeb裏技
    ブログ: 【重要】 ショッピングバスケット
    CGI RESCUE チャレンジCGI - ショッピングバスケットプロ

    参考情報

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    2007.01.25における脆弱性分析結果  緊急

    評価尺度 攻撃成立条件 評価値
    攻撃経路 インターネット経由からの攻撃が可能
    認証レベル 匿名もしくは認証なしで攻撃が可能
    攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
    攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
    • 中 - 高

    各項目の詳しい説明

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE
    JVN iPedia