NVD脆弱性詳細

CVE-2019-9486

概要	STRATO HiDrive Desktop Client 5.0.1.0 for Windows suffers from a SYSTEM privilege escalation vulnerability through the HiDriveMaintenanceService service. This service establishes a NetNamedPipe endpoint that allows applications to connect and call publicly exposed methods. An attacker can inject and execute code by hijacking the insecure communications with the service. This vulnerability also affects Telekom MagentaCLOUD through 5.7.0.0 and 1&1 Online Storage through 6.1.0.0.
公表日	2019年5月1日4:29
登録日	2021年1月26日11:45
最終更新日	2024年11月21日13:51

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:strato:hidrive_desktop_client::::::windows::*			5.0.1.0

構成2		以上	以下	より上	未満
cpe:2.3:a:telekom:magentacloud::::::::			5.7.0.0

構成3		以上	以下	より上	未満
cpe:2.3:a:ionos:1\&1_online_storage::::::::			6.1.0.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://zer0-day.pw/articles/2019-04/HiDrive-LPE-via-Insecure-WCF-endpoint		Exploit Third Party Advisory
2	https://zer0-day.pw/articles/2019-04/HiDrive-LPE-via-Insecure-WCF-endpoint		Exploit Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-367	Time-of-check Time-of-use (TOCTOU) 競合状態	https://cwe.mitre.org/data/definitions/367.html

JVN脆弱性情報

STRATO HiDrive Desktop Client におけるアクセス制御に関する脆弱性

タイトル	STRATO HiDrive Desktop Client におけるアクセス制御に関する脆弱性
概要	STRATO HiDrive Desktop Client には、アクセス制御に関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2019年4月25日0:00
登録日	2019年5月27日14:44
最終更新日	2019年5月27日14:44

影響を受けるシステム

deutsche telekom

MagentaCLOUD 5.7.0.0 まで

1und1

1&1 online storage 6.1.0.0 まで

Strato AG

Strato HiDrive Desktop Client 5.0.1.0 (Windows)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-9486	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9486
National Vulnerability Database (NVD)
2	CVE-2019-9486	https://nvd.nist.gov/vuln/detail/CVE-2019-9486

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-284	https://cwe.mitre.org/data/definitions/284.html

ベンダー情報

No	名前	URL
1&1
1	1&1 Online-Speicher	https://www.1und1.de/online-speicher
deutsche telekom
2	MagentaCLOUD	https://www.telekom.de/hilfe/festnetz-internet-tv/produkte/magentacloud
Strato AG
3	Top Page	https://www.strato.de/

その他

No	名前	URL
関連文書
1	HiDrive: Local Privilege Escalation via Insecure WCF endpoint	https://zer0-day.pw/articles/2019-04/HiDrive-LPE-via-Insecure-WCF-endpoint

変更履歴

No	変更内容	変更日
1	[2019年05月27日] 掲載	2019年5月27日14:44