製品・ソフトウェアに関する情報

JVN脆弱性詳細

Drupal 用 Simplenews Scheduler モジュールにおける任意の PHP コードを挿入される脆弱性

Title	Drupal 用 Simplenews Scheduler モジュールにおける任意の PHP コードを挿入される脆弱性
Summary	Drupal 用 Simplenews Scheduler モジュールには、cron 実行のためのスケジュールフォームの中に任意の PHP コードを挿入される脆弱性が存在します。
Possible impacts	"send scheduled newsletters" パーミッションを持つリモート認証されたユーザにより、cron 実行のためのスケジュールフォームの中に任意の PHP コードを挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 19, 2012, midnight
Registration Date	Dec. 5, 2012, 4:44 p.m.
Last Update	Dec. 5, 2012, 4:44 p.m.

Affected System

Simplenews Scheduler Project

Simplenews Scheduler 6.x-2.4 未満の 6.x-2.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-5537	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5537
National Vulnerability Database (NVD)
2	CVE-2012-5537	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5537

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
Drupal
1	simplenews_scheduler 6.x-2.4	http://drupal.org/node/1789274
Drupal Project
2	Simplenews Scheduler	http://drupal.org/project/simplenews_scheduler
Security advisories
3	SA-CONTRIB-2012-146	http://drupal.org/node/1789284

Change Log

No	Changed Details	Date of change
0	[2012年12月05日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-5537

Summary	The Simplenews Scheduler module 6.x-2.x before 6.x-2.4 for Drupal allows remote authenticated users with the "send scheduled newsletters" permission to inject arbitrary PHP code into the scheduling form, which is later executed by cron.
Publication Date	Dec. 4, 2012, 6:55 a.m.
Registration Date	Jan. 28, 2021, 3:05 p.m.
Last Update	Nov. 21, 2024, 10:44 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:beta4::::::
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:beta2::::::
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:beta3::::::
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.1:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.2:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.3:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.x:dev::::::
execution environment
1	cpe:2.3:a:drupal:drupal:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://drupal.org/node/1789274	Patch
2	http://drupal.org/node/1789274	Patch
3	http://drupal.org/node/1789284	Patch Vendor Advisory
4	http://drupal.org/node/1789284	Patch Vendor Advisory
5	http://www.openwall.com/lists/oss-security/2012/11/20/4
6	http://www.openwall.com/lists/oss-security/2012/11/20/4

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:beta4::::::
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:beta2::::::
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.0:beta3::::::
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.1:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.2:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.3:::::::*
cpe:2.3:a:simplenews_scheduler_project:simplenews_scheduler:6.x-2.x:dev::::::
execution environment
1	cpe:2.3:a:drupal:drupal:-:::::::*