製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Quicksilver Forums の global.php におけるディレクトリトラバーサルの脆弱性

タイトル	Quicksilver Forums の global.php におけるディレクトリトラバーサルの脆弱性
概要	QSF Portal で使用される Quicksilver Forums の global.php の get_lang 関数には、Windows 上で稼動している際、ディレクトリトラバーサルの脆弱性が存在します。
想定される影響	第三者により、index.php への "\" (バックスラッシュ) を含む lang パラメータを介して、任意のローカルファイルをインクルードされる、および実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2009年8月25日0:00
登録日	2012年12月20日19:10
最終更新日	2012年12月20日19:10

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

quicksilver forums

quicksilver forums 1.4.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-7064	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-7064
National Vulnerability Database (NVD)
2	CVE-2008-7064	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-7064

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	名前	URL
quicksilver forums
1	Top Page	http://www.quicksilverforums.com/

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-7064

概要	Directory traversal vulnerability in the get_lang function in global.php in Quicksilver Forums 1.4.2 and earlier, as used in QSF Portal before 1.4.5, when running on Windows, allows remote attackers to include and execute arbitrary local files via a "\" (backslash) in the lang parameter to index.php, which bypasses a protection mechanism that only checks for "/" (forward slash), as demonstrated by uploading and including PHP code in an avatar file.
概要	La vulnerabilidad de salto del directorio en la función get_lang en el archivo global.php en Quicksilver Forums versión 1.4.2 y anteriores, como es usado en QSF Portal anterior a versión 1.4.5, cuando es ejecutado en Windows, permite a los atacantes remotos incluir y ejecutar archivos locales arbitrarios por medio de un "\" (barra diagonal invertida) en el parámetro lang en archivo index.php, que omite un mecanismo de protección que solo comprueba "/" (barra diagonal), como es demostrado al cargar e incluir el código PHP en un archivo avatar.
公表日	2009年8月25日19:30
登録日	2021年1月29日13:51
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:quicksilver_forums:quicksilver_forums:1.4.2:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://osvdb.org/50143	cve@mitre.org
2	http://secunia.com/advisories/32823	cve@mitre.org
3	http://secunia.com/advisories/38670	cve@mitre.org
4	http://www.qsfportal.com/index.php?a=newspost&t=191	cve@mitre.org
5	http://www.securityfocus.com/bid/32452	cve@mitre.org
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/46823	cve@mitre.org
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/46828	cve@mitre.org
8	https://www.exploit-db.com/exploits/7217	cve@mitre.org
9	http://osvdb.org/50143	af854a3a-2127-422b-91ae-364da2661108
10	http://secunia.com/advisories/32823	af854a3a-2127-422b-91ae-364da2661108
11	http://secunia.com/advisories/38670	af854a3a-2127-422b-91ae-364da2661108
12	http://www.qsfportal.com/index.php?a=newspost&t=191	af854a3a-2127-422b-91ae-364da2661108
13	http://www.securityfocus.com/bid/32452	af854a3a-2127-422b-91ae-364da2661108
14	https://exchange.xforce.ibmcloud.com/vulnerabilities/46823	af854a3a-2127-422b-91ae-364da2661108
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/46828	af854a3a-2127-422b-91ae-364da2661108
16	https://www.exploit-db.com/exploits/7217	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html