NVD脆弱性詳細

CVE-2023-27533

概要	A vulnerability in input validation exists in curl <8.0 during communication using the TELNET protocol may allow an attacker to pass on maliciously crafted user name and "telnet options" during server negotiation. The lack of proper input scrubbing allows an attacker to send content or perform option negotiation without the application's intent. This vulnerability could be exploited if an application allows user input, thereby enabling attackers to execute arbitrary code on the system.
公表日	2023年3月31日5:15
登録日	2023年3月31日10:00
最終更新日	2024年11月21日16:53

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:haxx:curl::::::::		7.0.0	7.881

構成2		以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:36:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:a:netapp:active_iq_unified_manager:-:::::vmware_vsphere::
cpe:2.3:a:netapp:clustered_data_ontap:9.0:-::::::

構成8	以上	以下	より上	未満
cpe:2.3:a:splunk:universal_forwarder:9.1.0:::::::*
cpe:2.3:a:splunk:universal_forwarder::::::::	9.0.0			9.0.6
cpe:2.3:a:splunk:universal_forwarder::::::::	8.2.0			8.2.12

関連情報、対策とツール

No	URL	タグ
1	https://hackerone.com/reports/1891474	Exploit Third Party Advisory
2	https://hackerone.com/reports/1891474	Exploit Third Party Advisory
3	https://lists.debian.org/debian-lts-announce/2023/04/msg00025.html	Mailing List
4	https://lists.debian.org/debian-lts-announce/2023/04/msg00025.html	Mailing List
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/	Mailing List Third Party Advisory
6	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/	Mailing List Third Party Advisory
7	https://security.gentoo.org/glsa/202310-12	Third Party Advisory
8	https://security.gentoo.org/glsa/202310-12	Third Party Advisory
9	https://security.netapp.com/advisory/ntap-20230420-0011/	Third Party Advisory
10	https://security.netapp.com/advisory/ntap-20230420-0011/	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-74	インジェクション	https://cwe.mitre.org/data/definitions/74.html

JVN脆弱性情報

Haxx の cURL 他複数ベンダの製品におけるインジェクションに関する脆弱性

タイトル	Haxx の cURL 他複数ベンダの製品におけるインジェクションに関する脆弱性
概要	Haxx の cURL 他複数ベンダの製品には、インジェクションに関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	参考情報を参照して適切な対策を実施してください。
公表日	2023年3月30日0:00
登録日	2023年11月15日12:21
最終更新日	2023年12月21日11:29

影響を受けるシステム

Fedora Project

Fedora 36

Haxx

cURL 7.0.0 から 7.881

NetApp

Active IQ Unified Manager

H300S ファームウェア

H410S ファームウェア

H500S ファームウェア

H700S ファームウェア

ONTAP (旧 Clustered Data ONTAP) 9.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-27533	https://www.cve.org/CVERecord?id=CVE-2023-27533
National Vulnerability Database (NVD)
2	CVE-2023-27533	https://nvd.nist.gov/vuln/detail/CVE-2023-27533

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-74	https://cwe.mitre.org/data/definitions/74.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-23-348-10	https://www.cisa.gov/news-events/ics-advisories/icsa-23-348-10
JVN
2	JVNVU#98271228	https://jvn.jp/vu/JVNVU98271228/index.html
関連文書
3	hackerone.com (reports/1891474)	https://hackerone.com/reports/1891474
4	lists.debian.org (msg00025)	https://lists.debian.org/debian-lts-announce/2023/04/msg00025.html
5	lists.fedoraproject.org (36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW)	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/
6	security.gentoo.org (202310-12)	https://security.gentoo.org/glsa/202310-12
7	security.netapp.com (ntap-20230420-0011)	https://security.netapp.com/advisory/ntap-20230420-0011/

変更履歴

No	変更内容	変更日
1	[2023年11月15日] 掲載	2023年11月15日12:21
3	[2023年12月21日] 参考情報：JVN (JVNVU#98271228) を追加参考情報：ICS-CERT ADVISORY (ICSA-23-348-10) を追加	2023年12月21日10:17