NVD Vulnerability Detail

CVE-2019-8362

Summary	DedeCMS through V5.7SP2 allows arbitrary file upload in dede/album_edit.php or dede/album_add.php, as demonstrated by a dede/album_edit.php?dopost=save&formzip=1 request with a ZIP archive that contains a file such as "1.jpg.php" (because input validation only checks that .jpg, .png, or .gif is present as a substring, and does not otherwise check the file name or content).
Publication Date	Feb. 17, 2019, 7:29 a.m.
Registration Date	Jan. 26, 2021, 11:44 a.m.
Last Update	Nov. 21, 2024, 1:49 p.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://tusk1.cn/2019/02/16/dedecms%20v5.7%20sp2%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/		Exploit Third Party Advisory
2	http://tusk1.cn/2019/02/16/dedecms%20v5.7%20sp2%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/		Exploit Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-434	危険なタイプのファイルの無制限アップロード	https://cwe.mitre.org/data/definitions/434.html

JVN Vulnerability Information

DedeCMS における危険なタイプのファイルの無制限アップロードに関する脆弱性

Title	DedeCMS における危険なタイプのファイルの無制限アップロードに関する脆弱性
Summary	DedeCMS には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。
Possible impacts	情報を改ざんされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Feb. 16, 2019, midnight
Registration Date	March 28, 2019, 10:36 a.m.
Last Update	March 28, 2019, 10:36 a.m.

Affected System

DesDev Inc.

DedeCMS 5.7SP2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-8362	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8362
2	CVE-2019-8362	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8362
National Vulnerability Database (NVD)
3	CVE-2019-8362	https://nvd.nist.gov/vuln/detail/CVE-2019-8362
4	CVE-2019-8362	https://nvd.nist.gov/vuln/detail/CVE-2019-8362

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-434	https://cwe.mitre.org/data/definitions/434.html
2	CWE-434	https://cwe.mitre.org/data/definitions/434.html

ベンダー情報

その他

No	Name	URL
関連文書
1	dedecms v5.7 sp2	http://tusk1.cn/2019/02/16/dedecms%20v5.7%20sp2%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/
2	dedecms v5.7 sp2	http://tusk1.cn/2019/02/16/dedecms%20v5.7%20sp2%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/

Change Log

No	Changed Details	Date of change
1	[2019年03月28日] 掲載	March 28, 2019, 10:36 a.m.
1	[2019年03月28日] 掲載	March 28, 2019, 10:36 a.m.