| Title | DokuWiki の lib/exec/fetch.php における任意のコマンドを実行される脆弱性 |
|---|---|
| Summary | DokuWiki の lib/exec/fetch.php は、conf[imconvert] で ImageMagick の使用を設定する際、変換の呼び出しをする場面でフィルタしないため、任意のコマンドを実行される脆弱性が存在します。 |
| Possible impacts | 第三者により、(1) w および (2) h パラメータのシェルメタキャラクタを介して、任意のコマンドを実行される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Sept. 29, 2006, midnight |
| Registration Date | June 26, 2012, 3:37 p.m. |
| Last Update | June 26, 2012, 3:37 p.m. |
| CVSS2.0 : 危険 | |
| Score | 7.5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Andreas Gohr |
| DokuWiki 2006-03-09e 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年06月26日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | lib/exec/fetch.php in DokuWiki before 2006-03-09e, when conf[imconvert] is configured to use ImageMagick, allows remote attackers to execute arbitrary commands via shell metacharacters in the (1) w and (2) h parameters, which are not filtered when invoking convert. |
|---|---|
| Summary | lib/exec/fetch.php en DokuWiki anterior a 09/03/2006, cuando se configura conf[imconvert] para usar ImageMagick, permite a un atacante remoto ejecutar comandos de su elección a través de los metacaracteres del interprete de comandos en los parámetros (1)w y (2) h, los cuales no fueron filtrados cuando se invocó la conversión. |
| Publication Date | Sept. 30, 2006, 8:07 a.m. |
| Registration Date | Jan. 29, 2021, 3:46 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:andreas_gohr:dokuwiki:release_2006-03-05:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:andreas_gohr:dokuwiki:release_2006-03-09:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:andreas_gohr:dokuwiki:release_2006-03-09e:*:*:*:*:*:*:* | |||||