製品・ソフトウェアに関する情報
Vulnerability Search
conga の luci server コンポーネントにおけるパスワードを不正に取得される脆弱性
Title conga の luci server コンポーネントにおけるパスワードを不正に取得される脆弱性
Summary

conga の luci server コンポーネントは、password entry フィールドの Value 属性にパスワードを格納することで Add System/Cluster タスクフローのページロード間にパスワードを保存するため、パスワードを不正に取得される脆弱性が存在します。

Possible impacts 攻撃者により、Web ページを取得するための "ビューソース" または他の操作を実行されることで、パスワードを不正に取得される可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date March 15, 2007, midnight
Registration Date June 26, 2012, 3:46 p.m.
Last Update June 26, 2012, 3:46 p.m.
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:P/I:N/A:N
Affected System
conga
conga 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年06月26日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-1462
Summary

The luci server component in conga preserves the password between page loads for the Add System/Cluster task flow by storing the password in the Value attribute of a password entry field, which allows attackers to steal the password by performing a "view source" or other operation to obtain the web page. NOTE: there are limited circumstances under which such an attack is feasible.

Summary

El componente de servidor luci en conga, conserva la contraseña entre cargas de página para el flujo de tarea Add System/Cluster almacenando la contraseña en el atributo Value de un campo de introducción de contraseña, lo cual permite a atacantes obtener la contraseña realizando una operación "ver código fuente" u otras que obtengan la página web.
NOTA: hay ciertas circunstancias bajo las cuales este ataque es factible.

Publication Date March 16, 2007, 5:19 a.m.
Registration Date Jan. 29, 2021, 2:08 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
Configuration2 or higher or less more than less than
cpe:2.3:a:conga:conga:*:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List