製品・ソフトウェアに関する情報
脆弱性検索
TortoiseSVN で使用されている Subversion におけるディレクトリトラバーサルの脆弱性
タイトル TortoiseSVN で使用されている Subversion におけるディレクトリトラバーサルの脆弱性
概要

TortoiseSVN で使用されている Subversion には、Windows ベースのシステム上で稼動している際、ディレクトリトラバーサルの脆弱性が存在します。

想定される影響 リモート認証されたユーザにより、ファイルリポジトリに格納されている ..\ (ドットドットバックスラッシュ) シーケンスを含むファイル名を介して、任意のファイルを上書きされる、または作成される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2007年8月27日0:00
登録日 2012年12月20日18:33
最終更新日 2012年12月20日18:33
CVSS2.0 : 警告
スコア 6
ベクター AV:N/AC:M/Au:S/C:P/I:P/A:P
影響を受けるシステム
CollabNet, Inc.
Subversion 1.4.5 未満
TortoiseSVN
TortoiseSVN 1.4.5 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2012年12月20日]
  掲載		 2018年2月17日10:37
NVD脆弱性情報
CVE-2007-3846
概要

Directory traversal vulnerability in Subversion before 1.4.5, as used by TortoiseSVN before 1.4.5 and possibly other products, when run on Windows-based systems, allows remote authenticated users to overwrite and create arbitrary files via a ..\ (dot dot backslash) sequence in the filename, as stored in the file repository.

概要

Vulnerabilidad de salto de directorio en Subversion anterior a 1.4.5, utilizado en TortoiseSVN anterior a 1.4.5 y posiblemente otros productos, cuando se ejecuta en sistemas basados en Windows, permite a usuarios autenticados remotamente sobrescribir y crear archivos de su elección mediante una secuencia ..\ (punto punto barra invertida) en el nombre de archivo, almacenado en el repositorio de archivos.

公表日 2007年8月29日3:17
登録日 2021年1月29日14:16
最終更新日 2026年4月23日9:35
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:subversion:subversion:*:*:windows:*:*:*:*:* 1.4.4
cpe:2.3:a:tortoisesvn:tortoisesvn:*:*:windows:*:*:*:*:* 1.4.4
関連情報、対策とツール
共通脆弱性一覧