製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

Collabtive におけるクロスサイトリクエストフォージェリの脆弱性

Title	Collabtive におけるクロスサイトリクエストフォージェリの脆弱性
Summary	Collabtive には、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	第三者により、以下のリクエストの管理者認証をハイジャックされる可能性があります。 (1) 新規プロジェクトを実行依頼または編集するリクエスト (2) プロジェクトへファイルをアップロードするリクエスト (3) メッセージへファイルを添付するリクエスト
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Aug. 12, 2009, midnight
Registration Date	June 26, 2012, 4:10 p.m.
Last Update	June 26, 2012, 4:10 p.m.

CVSS2.0 : 警告
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P

Affected System

Open Dynamics

Collabtive 0.4.8

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-6949	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-6949
National Vulnerability Database (NVD)
2	CVE-2008-6949	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6949

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Collabtive
1	Collabtive	http://www.collabtive.com/
o-dyn
2	Top Page	http://collabtive.o-dyn.de/

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-6949

Summary	Multiple cross-site request forgery (CSRF) vulnerabilities in Collabtive 0.4.8 allow remote attackers to hijack the authentication of administrators for requests that (1) submit or edit a new project, or (2) upload files to a project, or (3) attach files to messages via unknown vectors. NOTE: these issues can be leveraged with other vulnerabilities to create remote attack vectors that do not require authentication.
Summary	Vulnerabilidad múltiple de falsificación de petición en sitios cruzados (CSRF) en Collabtive v0.4.8 permite a lo atacantes remotos secuestrar la autenticación de un administrador por peticiones que (1) enviar o editar un nuevo proyecto, o (2) subir un archivo a un proyecto, o (3) adjunta un archivo a un mensaje a través de vectores desconocidos. NOTA: este asunto puede ser elevado con otra vulnerabilidad para crear un vector de ataque remoto que no requiera autenticación.
Publication Date	Aug. 12, 2009, 7:30 p.m.
Registration Date	Jan. 29, 2021, 1:51 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:collabtive:collabtive:0.4.8:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.securityfocus.com/archive/1/498186/100/0/threaded	cve@mitre.org
2	https://www.exploit-db.com/exploits/7076	cve@mitre.org
3	http://www.securityfocus.com/archive/1/498186/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
4	https://www.exploit-db.com/exploits/7076	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html