| タイトル | Cloud Foundry UAA における認可に関する脆弱性 |
|---|---|
| 概要 | Cloud Foundry UAA には、認可に関する脆弱性が存在します。 |
| 想定される影響 | 情報を改ざんされる可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2018年7月18日0:00 |
| 登録日 | 2018年10月18日17:42 |
| 最終更新日 | 2018年10月18日17:42 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| Cloud Foundry Foundation |
| UAA 4.10.2 未満の 4.10 |
| UAA 4.12.4 未満の 4.12 |
| UAA 4.19.2 未満の 4.19 |
| UAA 4.5.7 未満の 4.5 |
| UAA 4.7.6 未満の 4.7 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2018年10月18日] 掲載 |
2018年10月18日17:42 |
| 概要 | Cloud Foundry UAA, versions 4.19 prior to 4.19.2 and 4.12 prior to 4.12.4 and 4.10 prior to 4.10.2 and 4.7 prior to 4.7.6 and 4.5 prior to 4.5.7, incorrectly authorizes requests to admin endpoints by accepting a valid refresh token in lieu of an access token. Refresh tokens by design have a longer expiration time than access tokens, allowing the possessor of a refresh token to authenticate longer than expected. This affects the administrative endpoints of the UAA. i.e. /Users, /Groups, etc. However, if the user has been deleted or had groups removed, or the client was deleted, the refresh token will no longer be valid. |
|---|---|
| 公表日 | 2018年7月25日4:29 |
| 登録日 | 2021年3月1日18:44 |
| 最終更新日 | 2024年11月21日12:42 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:pivotal_software:cloud_foundry_uaa:*:*:*:*:*:*:*:* | 4.12.0 | 4.12.4 | |||
| cpe:2.3:a:pivotal_software:cloud_foundry_uaa:*:*:*:*:*:*:*:* | 4.19.0 | 4.19.2 | |||
| cpe:2.3:a:pivotal_software:cloud_foundry_uaa:*:*:*:*:*:*:*:* | 4.7.0 | 4.7.6 | |||
| cpe:2.3:a:pivotal_software:cloud_foundry_uaa:*:*:*:*:*:*:*:* | 4.10.0 | 4.10.2 | |||
| cpe:2.3:a:pivotal_software:cloud_foundry_uaa:*:*:*:*:*:*:*:* | 4.5.0 | 4.5.7 | |||