XOOPSのディレクトリトラバーサルの脆弱性を検証(NTTデータ・セキュリティ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.19(木)

XOOPSのディレクトリトラバーサルの脆弱性を検証(NTTデータ・セキュリティ)

製品・サービス・業界動向 業界動向

 NTTデータ・セキュリティ株式会社は12月15日、XOOPSにおけるディレクトリトラバーサルの脆弱性の再現性について検証を行い、結果を発表した。これは、XOOPSのローカルファイルインクルード処理に欠陥があり、ディレクトリトラバーサル攻撃を受ける脆弱性が発見されたことを受けたもの。この脆弱性により、細工されたリクエストを送信することで、ターゲットシステムの任意のローカルファイルが閲覧可能となる。

 同社ではこの脆弱性について、「XOOPS 2.3.1」「PHP 5.2.6」「CentOS 5」による環境で検証を行った。ローカルインクルードの脆弱性を利用して、ターゲットシステムに細工したHTTPリクエストを送信することで、任意のファイルを読み出せるかどうかを検証した。検証の結果、ターゲットシステムに存在するユーザの一覧を取得できた。これにより、悪意のあるユーザにSSH等から当該ユーザに対するオンラインクラックを行われ、システムへの更なる制御の奪取を許す危険性があるとしている。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20081215(xoops).pdf

http://www.nttdata-sec.co.jp/article/vulner.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×