製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

vtiger CRM の Compose Mail 機能における任意のコードを実行される脆弱性

タイトル	vtiger CRM の Compose Mail 機能における任意のコードを実行される脆弱性
概要	vtiger CRM の Compose Mail 機能の saveForwardAttachments 手順には、任意のコードを実行される脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、添付ファイル名の末尾に以下が含まれている電子メールメッセージを作成され、storage/ 配下の特定のパス名への直接リクエストをされることで、任意のコードを実行される可能性があります。 (1) 特定の Apache HTTP Server 設定環境上の .php (2) Windows 上の .php (3) Linux 上の .php/
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2009年9月18日0:00
登録日	2012年12月20日19:28
最終更新日	2012年12月20日19:28

CVSS2.0 : 危険
スコア	9
ベクター	AV:N/AC:L/Au:S/C:C/I:C/A:C

影響を受けるシステム

Vtiger

Vtiger CRM 5.0.4

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3250	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3250
National Vulnerability Database (NVD)
2	CVE-2009-3250	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3250

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Vtiger
1	vtiger CRM	https://www.vtiger.com/crm/

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-3250

概要	The saveForwardAttachments procedure in the Compose Mail functionality in vtiger CRM 5.0.4 allows remote authenticated users to execute arbitrary code by composing an e-mail message with an attachment filename ending in (1) .php in installations based on certain Apache HTTP Server configurations, (2) .php. on Windows, or (3) .php/ on Linux, and then making a direct request to a certain pathname under storage/.
概要	El procedimiento "saveForwardAttachments" de la funcionalidad "Crear correo" de vtiger CRM v5.0.4 permite a usuarios remotos autenticados ejecutar código de su elección creando un mensaje de correo electrónico con un fichero adjunto cuyo nombre acabe en (1) .php en entornos basados en configuraciones determinadas del servidor HTTP Apache, (2) .php. en Windows, o (3) .php/ en Linux; y, a continuación, realizando una petición directa a una ruta de directorio bajostorage/.
公表日	2009年9月19日5:30
登録日	2021年1月29日13:23
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:vtiger:vtiger_crm:5.0.4:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://marc.info/?l=bugtraq&m=125060676515670&w=2	cve@mitre.org
2	http://secunia.com/advisories/36309	cve@mitre.org
3	http://www.exploit-db.com/exploits/9450	cve@mitre.org
4	http://www.osvdb.org/57237	cve@mitre.org
5	http://www.securityfocus.com/bid/36062	cve@mitre.org
6	http://www.ush.it/2009/08/18/vtiger-crm-504-multiple-vulnerabilities/	cve@mitre.org
7	http://www.ush.it/team/ush/hack-vtigercrm_504/vtigercrm_504.txt	cve@mitre.org
8	http://www.vupen.com/english/advisories/2009/2319	cve@mitre.org
9	http://marc.info/?l=bugtraq&m=125060676515670&w=2	af854a3a-2127-422b-91ae-364da2661108
10	http://secunia.com/advisories/36309	af854a3a-2127-422b-91ae-364da2661108
11	http://www.exploit-db.com/exploits/9450	af854a3a-2127-422b-91ae-364da2661108
12	http://www.osvdb.org/57237	af854a3a-2127-422b-91ae-364da2661108
13	http://www.securityfocus.com/bid/36062	af854a3a-2127-422b-91ae-364da2661108
14	http://www.ush.it/2009/08/18/vtiger-crm-504-multiple-vulnerabilities/	af854a3a-2127-422b-91ae-364da2661108
15	http://www.ush.it/team/ush/hack-vtigercrm_504/vtigercrm_504.txt	af854a3a-2127-422b-91ae-364da2661108
16	http://www.vupen.com/english/advisories/2009/2319	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html