製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Products.PluggableAuthService における情報漏えいに関する脆弱性

タイトル	Products.PluggableAuthService における情報漏えいに関する脆弱性
概要	Products.PluggableAuthService には、情報漏えいに関する脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年2月23日0:00
登録日	2021年11月18日17:52
最終更新日	2021年11月18日17:52

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CVSS2.0 : 警告
スコア	4
ベクター	AV:N/AC:L/Au:S/C:P/I:N/A:N

影響を受けるシステム

Zope Foundation

Products.PluggableAuthService 2.6.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-21336	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21336
National Vulnerability Database (NVD)
2	CVE-2021-21336	https://nvd.nist.gov/vuln/detail/CVE-2021-21336

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	名前	URL
GitHub
1	Fix missing access control on ZODB Role Manager enumerateRoles	https://github.com/zopefoundation/Products.PluggableAuthService/commit/2dad81128250cb2e5d950cddc9d3c0314a80b4bb
Python Package Index (PyPI)
2	Products.PluggableAuthService 2.6.4	https://pypi.org/project/Products.PluggableAuthService/

その他

No	名前	URL
関連文書
1	Plone security hotfix 20210518	http://www.openwall.com/lists/oss-security/2021/05/21/1
2	Re: Plone security hotfix 20210518	http://www.openwall.com/lists/oss-security/2021/05/22/1

変更履歴

No	変更内容	変更日
1	[2021年11月18日] 掲載	2021年11月18日17:52

NVD脆弱性情報

CVE-2021-21336

概要	Products.PluggableAuthService is a pluggable Zope authentication and authorization framework. In Products.PluggableAuthService before version 2.6.0 there is an information disclosure vulnerability - everyone can list the names of roles defined in the ZODB Role Manager plugin if the site uses this plugin. The problem has been fixed in version 2.6.0. Depending on how you have installed Products.PluggableAuthService, you should change the buildout version pin to 2.6.0 and re-run the buildout, or if you used pip simply do `pip install "Products.PluggableAuthService>=2.6.0"`.
公表日	2021年3月9日6:15
登録日	2021年3月9日10:01
最終更新日	2024年11月21日14:48

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:zope:products.pluggableauthservice::::::::					2.6.0

構成2		以上	以下	より上	未満
cpe:2.3:a:plone:plone::::::::		5.0	5.2.4
cpe:2.3:a:plone:plone::::::::		4.3.0	4.3.20

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.openwall.com/lists/oss-security/2021/05/21/1		Mailing List Third Party Advisory
2	http://www.openwall.com/lists/oss-security/2021/05/21/1		Mailing List Third Party Advisory
3	http://www.openwall.com/lists/oss-security/2021/05/22/1		Mailing List Third Party Advisory
4	http://www.openwall.com/lists/oss-security/2021/05/22/1		Mailing List Third Party Advisory
5	https://github.com/zopefoundation/Products.PluggableAuthService/commit/2dad81128250cb2e5d950cddc9d3c0314a80b4bb		Patch Third Party Advisory
6	https://github.com/zopefoundation/Products.PluggableAuthService/commit/2dad81128250cb2e5d950cddc9d3c0314a80b4bb		Patch Third Party Advisory
7	https://github.com/zopefoundation/Products.PluggableAuthService/security/advisories/GHSA-p75f-g7gx-2r7p		Third Party Advisory
8	https://github.com/zopefoundation/Products.PluggableAuthService/security/advisories/GHSA-p75f-g7gx-2r7p		Third Party Advisory
9	https://pypi.org/project/Products.PluggableAuthService/		Product Third Party Advisory
10	https://pypi.org/project/Products.PluggableAuthService/		Product Third Party Advisory

共通脆弱性一覧