| Title | Claroline における PHP リモートファイルインクルージョンの脆弱性 |
|---|---|
| Summary | Claroline には、PHP リモートファイルインクルージョンの脆弱性が存在します。 本脆弱性は、CVE-2006-2284 とは異なる脆弱性です。 |
| Possible impacts | 第三者により、以下に含まれる URL を介して、任意の PHP コードを実行される可能性があります。 (1) 以下 (a) 〜 (k) に対する clarolineRepositorySys パラメータ (a) atutor.inc.php (b) db-generic.inc.php (c) docebo.inc.php (d) dokeos.1.6.inc.php (e) dokeos.inc.php (f) ganesha.inc.php (g) mambo.inc.php (h) moodle.inc.php (i) phpnuke.inc.php (j) postnuke.inc.php (k) spip.inc.php in claroline/auth/extauth/drivers/ (2) mambo.inc.php、postnuke.inc.php、および inc/lib/event/init_event_manager.inc.php 内の includePath パラメータ (3) inc/lib/export_exe_tracking.class.php への rootSys パラメータ |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Feb. 23, 2007, midnight |
| Registration Date | June 26, 2012, 3:38 p.m. |
| Last Update | June 26, 2012, 3:38 p.m. |
| CVSS2.0 : 危険 | |
| Score | 7.5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Claroline Consortium |
| Claroline 1.7.5 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年06月26日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Multiple PHP remote file inclusion vulnerabilities in Claroline 1.7.5 allow remote attackers to execute arbitrary PHP code via a URL in the (1) clarolineRepositorySys parameter to (a) atutor.inc.php (b) db-generic.inc.php (c) docebo.inc.php (d) dokeos.1.6.inc.php (e) dokeos.inc.php (f) ganesha.inc.php (g) mambo.inc.php (h) moodle.inc.php (i) phpnuke.inc.php (j) postnuke.inc.php and (k) spip.inc.php in claroline/auth/extauth/drivers/; (2) includePath parameter in mambo.inc.php, postnuke.inc.php, and (l) inc/lib/event/init_event_manager.inc.php; and (3) rootSys parameter in (m) inc/lib/export_exe_tracking.class.php, a different set of vectors than CVE-2006-2284. |
|---|---|
| Summary | Múltiples vulnerabilidades PHP de inclusión remota de archivo en Claroline 1.7.5 permite a atacantes remotos ejecutar código PHP de su elección a través de una URL en el parámetro (1) clarolineRepositorySys en a) atutor.inc.php (b) db-generic.inc.php (c) docebo.inc.php (d) dokeos.1.6.inc.php (e) dokeos.inc.php (f) ganesha.inc.php (g) mambo.inc.php (h) moodle.inc.php (i) phpnuke.inc.php (j) postnuke.inc.php y (k) spip.inc.php y (k) spip.inc.php en claroline/auth/extauth/drivers/;(2) parámetro includePath en mambo.inc.php, postnuke.inc.php, y (1) inc/lib/event/init_event_manager.inc.php; y (3)parámetro rootSys en (m) inc/lib/export_exe_tracking.class.php, un grupo diferente de vectores que CVE-2006-2284. |
| Publication Date | Feb. 24, 2007, 9:28 a.m. |
| Registration Date | Jan. 29, 2021, 3:53 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:claroline:claroline:1.7.5:*:*:*:*:*:*:* | |||||