公開日:2015/02/06 最終更新日:2015/02/06
JVNVU#96466523
Topline Systems Opportunity Form に情報漏えいの脆弱性
Topline Systems が提供する Opportunity Form には、情報漏えいの脆弱性が存在します。
- Opportunity Form version 7.0 より前のバージョン
情報漏えい (CWE-200)
Topline Systems が提供する Opportunity Form は、マクロ機能が有効な Excel のスプレッドシートです。このスプレッドシートには、公開データベースへの接続文字列が保存されています。スプレッドシート内の手順で処理を行うことによって、ユーザ名、メールアドレス、パスワードが平文で公開されます。
ログイン可能なユーザに、他のユーザの認証情報やアカウントの情報を取得される可能性があります。
アップデートする
開発者は Opportunity Form をアップデートし、脆弱なバージョンのサポートを終了しています。また、ユーザにはパスワードの変更が求められます。
その他の変更点等、詳しくは Topline Systems Information for VU#669156 をご確認ください。
他のアカウントのパスワードを変更する
Opportunity Form と同様のパスワードを設定しているものは、全て変更することが推奨されています。
| ベンダ | リンク |
| Topline Systems | Off-line, Excel-based Opportunity Form |
| Login - Opportunity Portal |
-
CERT/CC Vulnerability Note VU#669156
Topline Systems Opportunity Form vulnerable to information disclosure
2015.02.06における脆弱性分析結果(CVSS Base Metrics)
| 評価尺度 | 評価値 | 説明 | ||
|---|---|---|---|---|
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | ネットワーク経由でリモートから攻撃可能 |
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に必要な条件はない |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 単一の認証が必要 |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 一部の情報が漏えいする |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さは損なわれない |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用は阻害されない |
Base Score:4.0
