Vendor Status Note JVNCIAC-P-039

TWiki の脆弱性

概要

TWiki の検索機能には、入力された文字列に含まれるシェルのメタ文字を適切に確認しない脆弱性があります。

影響を受けるシステム
 - TWikiRelease01Sep2004 -- TWiki20040901.zip
 - TWikiRelease01Feb2003 -- TWiki20030201.zip
 - TWikiRelease01Dec2001 -- TWiki20011201.zip
 - TWikiRelease01Dec2000 -- TWiki20001201.zip
 - http://ntwiki.ethermage.net:8181/svn/twiki/trunk にあるサブバージョン
  (revision 3224 およびそれ以前。revision 3225 で修正済み)

想定される影響

遠隔から第三者が Web サーバプログラムを実行しているユーザの権限を取得する可能性があります。

ベンダ情報

ベンダリンク更新日
TWikiTWiki Security Alert
TWiki search function allows arbitrary shell command execution
参考情報

  1. ISS X-Force Database: twik-search-command-execution(18062)
    TWiki search function command execution

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-4601 ( 2004-11-25 )
CIAC BulletinP-039 TWiki "Search.pm" Shell Command Injection Vulnerability ( 2004-11-16 )
CVE2004-1037 [CVE+] XF18062
PGP署名JVNCIAC-P-039.html.sig

登録日13:50 2004/11/28
更新日13:50 2004/11/28

Copyright(C) 2002-2009 Keio Univ. All rights reserved.