| タイトル | PHP Project Management におけるディレクトリトラバーサルの脆弱性 |
|---|---|
| 概要 | PHP Project Management には、ディレクトリトラバーサルの脆弱性が存在します。 |
| 想定される影響 | 第三者により、.. (ドットドット) を含む以下のパラメータを介して、任意のローカルファイルをインクルードおよび実行される可能性があります。 (1) modules/files/list.php への def_lang パラメータ (2) modules/projects/summary.inc.php への m_path パラメータ (3) modules/tasks/summary.inc.php への m_path パラメータ (4) modules/projects/list.php への module パラメータ (5) modules/ の配下の certinfo サブディレクトリの index.php への module パラメータ (6) modules/ の配下の emails サブディレクトリの index.php への module パラメータ (7) modules/ の配下の events サブディレクトリの index.php への module パラメータ (8) modules/ の配下の fax サブディレクトリの index.php への module パラメータ (9) modules/ の配下の files サブディレクトリの index.php への module パラメータ (10) modules/ の配下の groupadm サブディレクトリの index.php への module パラメータ (11) modules/ の配下の history サブディレクトリの index.php への module パラメータ (12) modules/ の配下の info サブディレクトリの index.php への module パラメータ (13) modules/ の配下の log サブディレクトリの index.php への module パラメータ (14) modules/ の配下の mail サブディレクトリの index.php への module パラメータ (15) modules/ の配下の messages サブディレクトリの index.php への module パラメータ (16) modules/ の配下の organizations サブディレクトリの index.php への module パラメータ (17) modules/ の配下の phones サブディレクトリの index.php への module パラメータ (18) modules/ の配下の presence サブディレクトリの index.php への module パラメータ (19) modules/ の配下の projects サブディレクトリの index.php への module パラメータ (20) modules/ の配下の reports サブディレクトリの index.php への module パラメータ (21) modules/ の配下の search サブディレクトリの index.php への module パラメータ (22) modules/ の配下の snf サブディレクトリの index.php への module パラメータ (23) modules/ の配下の syslog サブディレクトリの index.php への module パラメータ (24) modules/ の配下の tasks サブディレクトリの index.php への module パラメータ (25) modules/ の配下の useradm サブディレクトリの index.php への module パラメータ |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2007年10月23日0:00 |
| 登録日 | 2012年12月20日18:33 |
| 最終更新日 | 2012年12月20日18:33 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| phppm |
| php project management 0.8.10 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | Multiple directory traversal vulnerabilities in PHP Project Management 0.8.10 and earlier allow remote attackers to include and execute arbitrary local files via a .. (dot dot) in (1) the def_lang parameter to modules/files/list.php; the m_path parameter to (2) modules/projects/summary.inc.php or (3) modules/tasks/summary.inc.php; (4) the module parameter to modules/projects/list.php; or the module parameter to index.php in the (5) certinfo, (6) emails, (7) events, (8) fax, (9) files, (10) groupadm, (11) history, (12) info, (13) log, (14) mail, (15) messages, (16) organizations, (17) phones, (18) presence, (19) projects, (20) reports, (21) search, (22) snf, (23) syslog, (24) tasks, or (25) useradm subdirectory of modules/. |
|---|---|
| 概要 | Múltiples vulnerabilidades de sato de directorio en PHP Project Management 0.8.10 y anteriores permite a atacantes remotos incluir y ejecutar archivos locales de su elección a través de una secuencia .. (punto punto) en el parámetro 1) the def_lang en modules/files/list.php; el parámetro m_path en (2) modules/projects/summary.inc.php o (3) modules/tasks/summary.inc.php; (4) el parámetro module en modules/projects/list.php; o el parámetro module en index.php en los subdirectorios 5) certinfo, (6) emails, (7) events, (8) fax, (9) files, (10) groupadm, (11) history, (12) info, (13) log, (14) mail, (15) messages, (16) organizations, (17) phones, (18) presence, (19) projects, (20) reports, (21) search, (22) snf, (23) syslog, (24) tasks, o (25) useradm de modules/. |
| 公表日 | 2007年10月24日6:47 |
| 登録日 | 2021年1月29日14:22 |
| 最終更新日 | 2026年4月23日9:35 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:phppm:php_project_management:*:*:*:*:*:*:*:* | 0.8.10 | ||||