DokuWiki ajax.php cmd[del] パラメーターのセキュリティバイパス
high Nessus プラグイン ID 44059
Language:
概要
リモート Web サーバーでホストしているアプリケーションは、セキュリティバイパスの脆弱性による影響を受けます。説明
リモート Web サーバーでホストしている DokuWiki のバージョンは、「lib/plugins/acl/ajax.php」スクリプトの「cmd[del]」パラメーターで、セキュリティバイパスの脆弱性による影響を受けます。攻撃者は、この欠陥を悪用して、指定されたユーザーまたはグループに対する ACL 設定を変更する可能性があります。
注意:この脆弱性は、その他のいくつかのパラメーターに影響を与える場合があり、インストールされている DokuWiki のバージョンは、情報漏洩の脆弱性による影響も受ける場合がありますが、Nessus はこれらの問題をテストしていません。
ソリューション
DokuWiki を Release 2009-12-25b またはそれ以降にアップグレードしてください。参考資料
https://www.dokuwiki.org/changes#release_2009-12-25b_lemming
プラグインの詳細
深刻度: High
ID: 44059
ファイル名: dokuwiki_acl_security_bypass_vulnerability.nasl
バージョン: 1.13
タイプ: remote
ファミリー: CGI abuses
公開日: 2010/1/19
更新日: 2022/6/1
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: High
スコア: 8.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
必要な KB アイテム: www/PHP, www/dokuwiki
除外される KB アイテム: Settings/disable_cgi_abuses
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2010/1/15
脆弱性公開日: 2010/1/15
参照情報
CVE: CVE-2010-0288
BID: 37820