ここでは、既知の脆弱性に対するWebARGUS Fortifyの対応状況をお知らせ致します。

危険度「重大」以上の脆弱性件数:16
WebARGUS Fortifyにより検知された脆弱性件数:29

ID概要脆弱性タイプCloudbricスコア最終更新日Detection
EDB-ID-44539HRSALE The Ultimate HRM 1.0.2前のバージョンでは、 path パラメータを介し Local File Inclusion 攻撃を実行する可能性があります。 これにより、特定のシステムのファイルまたはファイルリストを読みとることができます。ロカールファイルインクルード注意2018/4/25O
EDB-ID-44537HRSALE The Ultimate HRM 1.0.2バージョンでは、award_idパラメータを介しSQLインジェクション攻撃を実行される可能性があります。 この脆弱性により、データ漏えいや特権昇格などをされる恐れがあります。SQLインジェクション重大2018/4/25O
EDB-ID-44501Drupal avatar_uploader v7.x-1.0-beta8バージョンでAribitrary File Disclosure の脆弱性があります。 file パラメータを介してファイル経路を挿入した場合、ファイルの内容が公開される脆弱性です。ファイル漏洩警告2018/4/23O
EDB-ID-44497Ncomputing vSpace Pro v10 - v11以下のバージョンでは、URLに含まれる入力値を介してディレクトリトラバーサル攻撃を実行される可能性があります。ディレクトリトラバーサル警告2018/4/23O
EDB-ID-44484Rvsitebuilder CMSではデータベースバックアップのダウンロード攻撃を実行される可能性があります。 これにより、Web上で安全でない機能が実行され、Database Backupファイルの情報が漏洩される恐れがあります。データベースバックアップのダウンロード重大2018/4/18O
EDB-ID-44483MySQL Squid Access Report 2.1.4では、1)SQLインジェクションと2)クロスサイトスクリプティングの脆弱性があります。 1)MySQL Squid Access Report 2.1.4では、dateパラメータを介しSQLインジェクション攻撃を実行される可能性があります。 この脆弱性により、データ漏えいや特権昇格などをされる恐れがあります。 2)MySQL Squid Access Report 2.1.4では、dateパラメータを介しクロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。SQLインジェクション、クロスサイトスクリプティング危険2018/4/18O
EDB-ID-44454Cobub Razor 0.8.0 バージョンでは、channel_nameパラメータを介しSQLインジェクション攻撃を実行される可能性があります。 この脆弱性により、データ漏えいや特権昇格などをされる恐れがあります。SQLインジェクション重大2018/4/16O
EDB-ID-44448Drupal'Drupalgeddon2 < 7.58 / < 8.3.9 / < 8.4.6 / < 8.5.1 では、mail[#markup] パラメータの入力値を介し、リモートで任意のコマンドを実行される可能性があります。 これにより、攻撃者はリモートでいつでも悪意のあるコマンドを実行することができます。リモートでのコード実行重大2018/4/13O
EDB-ID-44444WordPress Plugin File Upload 4.3.3 では、'wfu_basedir' パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング重大2018/4/10O
EDB-ID-44434iScripts SonicBB 1.0では、’query’パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/4/9O
EDB-ID-44425WordPress Plugin Simple Fields 0.2 - 0.35 では、’wp_abspath ’パラメータに入力される値を安全に処理できず、発生する脆弱点です。 攻撃が成功すれば、1)特定ファイルを閲覧、2)外部ファイル閲覧、3)リモートで認証過程無しで、希望するコマンドを実行することができます。LFI / RFI /リモートコード実行重大2018/4/9O
EDB-ID-44424Yahei PHP Prober 0.4.7 では、’funName’ パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/4/9O
EDB-ID-44408GetSimple CMS 3.3.13 では、’movieName’パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/4/5O
EDB-ID-44406Z-Blog 1.5.1.1740 では、’ZC_BLOG_SUBNAME’ パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/4/5O
EDB-ID-44405YzmCMS 3.6 では、 'a', 'c', 'm', 'modelid' パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/4/5O
EDB-ID-44386VideoFlow Digital Video Protection (DVP)2.10 では、”ID”パラメータを介し、ディレクトリトラバーサル攻撃を実行される可能性があります。 この脆弱性により、システムファイルを攻撃者に読み取られる可能性があります。ディレクトリトラバーサル注意2018/4/2O
EDB-ID-44366WordPress Plugin Relevanssi 4.0.4 では、 'tab' パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/3/30O
EDB-ID-44368Homematic CCU2 2.29.23では、 HTTP body入力値を介して、リモートコードを実行される可能性があります。 これにより、攻撃者は許可なく悪意のあるコマンドを実行することができます。リモートコード実行重大2018/3/30O
EDB-ID-44374osCommerce 2.3.4.1 では、DB_DATABASEパラメータを介し、リモートコードを実行される可能性があります。 これにより、攻撃者は許可なく悪意のあるコマンドを実行することができます。リモートコード実行重大2018/3/30O
EDB-ID-44351TwonkyMedia Server versions 7.0.11 ~ 8.5 では、 'friendlyname' パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/3/28O
EDB-ID-44354Open-AuditIT Professional 2.1 では、data[attributes][name パラメータを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効にさせる恐れがあります。クロスサイトスクリプティング警告2018/3/28O
EDB-ID-44346ClipBucketでは、ファイルアップロードの脆弱性が存在します。 この攻撃により、悪質なコードを実行される可能性があります。ファイルアップロード危険2018/3/27O
CVE-2017-15367Bacula-web 8.0.0-rc2以前のバージョンでは、複数のSQLインジェクションにより、攻撃者がBaculaデータベースにアクセスでき、設定に応じてサーバーの特権昇格などをされる恐れがあります。SQLインジェクション危険2018/3/26O
EDB-ID-44340Wordpress Plugin Site Editor 1.1.1 では、 'ajax_path' パラメータを介し、SQLインジェクション攻撃を実行される可能性があります。 File Uploadの脆弱性が存在する場合、この攻撃により、Webシェルを介したファイル漏洩や悪意のあるコードを実行される可能性があります。ファイルインクルード警告2018/3/23O
EDB-ID-443181.Vehicle Sales Management Systemでは、ファイルアップロードの脆弱性が存在します。この脆弱性により、悪意のあるファイルを介し、システムでコードを実行される可能性があります。 2.Vehicle Sales Management Systemでは、the input of 'manufacturer_name' をを介し、クロスサイトスクリプティング(XSS)攻撃を実行される可能性があります。 これにより、攻撃者は悪意のあるコードやスクリプトをWebページに挿入して異常な機能を有効させる恐れがあります。 3.Vehicle Sales Management Systemでは、 'username' パラメータを介し、SQLインジェクション攻撃を実行される可能性があります。 この脆弱性により、データ漏えいや特権昇格などをされる恐れがあります。複数の脆弱性危険2018/3/20O
EDB-ID-44277TextPattern 4.6.2 では、qtyパラメータを介し、SQLインジェクション攻撃を実行される可能性があります。 この脆弱性により、データ漏えいや特権昇格などをされる恐れがあります。SQLインジェクション重大2018/3/12O
EDB-ID-44272Bacula-Web 8.0.0-rc2 以下のバージョンでは、pool_id パラメータを介し、SQLインジェクション攻撃を実行される可能性があります。 この脆弱性により、データ漏えいや特権昇格などをされる恐れがあります。SQLインジェクション重大2018/3/9O
EDB-ID-44261Redaxo CMS Addon MyEvents 2.2.1では myevents_id パラメータを介し、SQLインジェクション攻撃を実行される可能性があります。 この脆弱性により、データ漏えいや特権昇格などをされる恐れがあります。SQLインジェクション重大2018/3/7O