製品・ソフトウェアに関する情報

JVN脆弱性詳細

Akamai Client の管理インターフェースにおける認証を回避される脆弱性

Title	Akamai Client の管理インターフェースにおける認証を回避される脆弱性
Summary	Akamai Client および Red Swoosh の管理インターフェースには、認証を回避される脆弱性が存在します。
Possible impacts	第三者により、以下の HTTP リクエストを介して、認証を回避され、クロスサイトリクエストフォージェリ攻撃を実行され、クライアントにダウンロードおよび任意のファイルの実行を強いる可能性があります。 (1) 承認されたドメインと合致する Referer のヘッダがない HTTP リクエスト (2) 承認されたドメインと合致する偽装された Referer のヘッダを含む HTTP リクエスト
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	June 9, 2008, midnight
Registration Date	June 26, 2012, 3:55 p.m.
Last Update	June 26, 2012, 3:55 p.m.

Affected System

アカマイテクノロジーズ

client 3322 およびそれ以前

red swoosh

client 3322 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-1106	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1106
National Vulnerability Database (NVD)
2	CVE-2008-1106	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1106

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Akamai Technologies
1	Top Page	http://www.akamai.com/
red swoosh
2	Red Swoosh	http://www.akamai.com/redswoosh

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-1106

Summary	The management interface in Akamai Client (formerly Red Swoosh) 3322 and earlier allows remote attackers to bypass authentication via an HTTP request that contains (1) no Referer header, or (2) a spoofed Referer header that matches an approved domain, which allows remote attackers to conduct cross-site request forgery (CSRF) attacks and force the client to download and execute arbitrary files.
Summary	La interfaz de administración de Akamai Client (formerly Red Swoosh) 3322 y versiones anteriores permite a atacantes remotos evitar la autenticación a través de una petición HTTP que contiene (1) la cabecera Referer , o (2) una cabecera envenenada Referer que coincide con un dominio válido, lo cual permite a atacantes remotos llevar a cabo un ataque de falsificación de petición en sitios cruzados (CSRF) y forzar al cliente a descargar y ejecutar ficheros de su elección.
Publication Date	June 10, 2008, 8:32 a.m.
Registration Date	Jan. 29, 2021, 1:32 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:akamai_technologies:client::::::::		3322
cpe:2.3:a:red_swoosh:client::::::::		3322

Related information, measures and tools

No	URL	refsource
1	http://secunia.com/advisories/30135	PSIRT-CNA@flexerasoftware.com
2	http://secunia.com/secunia_research/2008-19/advisory/	PSIRT-CNA@flexerasoftware.com
3	http://securityreason.com/securityalert/3930	PSIRT-CNA@flexerasoftware.com
4	http://www.securityfocus.com/archive/1/493169/100/0/threaded	PSIRT-CNA@flexerasoftware.com
5	http://www.securityfocus.com/archive/1/493170/100/0/threaded	PSIRT-CNA@flexerasoftware.com
6	http://www.securitytracker.com/id?1020208	PSIRT-CNA@flexerasoftware.com
7	http://www.vupen.com/english/advisories/2008/1761/references	PSIRT-CNA@flexerasoftware.com
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/42895	PSIRT-CNA@flexerasoftware.com
9	http://secunia.com/advisories/30135	af854a3a-2127-422b-91ae-364da2661108
10	http://secunia.com/secunia_research/2008-19/advisory/	af854a3a-2127-422b-91ae-364da2661108
11	http://securityreason.com/securityalert/3930	af854a3a-2127-422b-91ae-364da2661108
12	http://www.securityfocus.com/archive/1/493169/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
13	http://www.securityfocus.com/archive/1/493170/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
14	http://www.securitytracker.com/id?1020208	af854a3a-2127-422b-91ae-364da2661108
15	http://www.vupen.com/english/advisories/2008/1761/references	af854a3a-2127-422b-91ae-364da2661108
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/42895	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html
2	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
3	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html