1.概要統合監視ツール Pandora FMS に SQL インジェクションにより任意のコマンドの脆弱性が報告されています。当該脆弱性を悪用して、遠隔の攻撃者やシステム内の低い権限のユーザが SQL コマンドを実行され、データベースが操作される可能性があります。2.深刻度(CVSS)7.5http://www.tenable.com/plugins/index.php?view=single&id=811483.影響を受けるソフトウェア※1Pandora FMS 5.0 SP2 以前のバージョン4.解説Pandora FMS はネットワークやサーバ、アプリケーションの状態監視を統合的に実現することができる統合監視ツールです。オープンソース版のほか、商用サポートおよび機能追加を行った Enterprise 版があります。当該脆弱性を含む Pandora FMS では、モバイルログインインタフェースの"user" パラメータに SQL インジェクションの脆弱性が含まれています。脆弱性を悪用すると、遠隔の攻撃者やシステム内の権限が低いユーザは SQL コマンドを実行が可能となり、データベースを操作することなどが可能となります。5.対策以下の公式サイトより Pandora FMS 5.0 SP3 以降を入手しアップデートすることで、この脆弱性を解消することが可能です。http://pandorafms.com/6.ソースコード(Web非公開)(執筆:株式会社ラック サイバー・グリッド研究所)※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。Scan Tech Reporthttp://scan.netsecurity.ne.jp/archives/51916302.html
WordPress用WP SymposiumプラグインのUploadHandler.phpにおける任意のファイルをアップロードされる脆弱性(Scan Tech Report)2015.2.4 Wed 8:00
