セキュリティ対策の株式会社ラック

お問い合わせ
閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

アーカイブ

Documents Pro (旧 Files HD) におけるディレクトリトラバーサルの脆弱性

2013年5月23日 | 注意喚起

LAC Advisory No.114

Problem first discovered on: Wed, 23 Jun 2010
Published on: Thr, 23 May 2013

脅威度

概要

Olive Toast Software Ltd. が提供する Documents Pro には、ディレクトリトラバーサルの脆弱性が存在します。

詳細

Olive Toast Software Ltd. が提供する Documents Pro は、iOS 向けのドキュメントビューアです。Documents Pro には、ディレクトリトラバーサルの脆弱性が存在します。

公開ディレクトリ(/Public/ディレクトリ)を基点として../を用いてディレクトリをさかのぼったリクエストを送信することで、本来、認証が必要なファイルに対して、認証をおこなわずに、任意のファイルを閲覧やアップロードされたり、削除されたりなどの操作が行われる可能性があります。

影響を受けるバージョン

Documents Pro バージョン 1.11.1 より前のバージョン

対策

App Store から最新版のアップデートを適用してください。

[ベンダ情報]

https://itunes.apple.com/us/app/documents-pro/id374142847?mt=8

発見者

山崎 圭吾(ラック)

謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報セキュリティ早期警戒パートナーシップ』に従い、2010年6月に届出をおこなったものです。

http://jvn.jp/jp/JVN52197991/index.html

http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000002.html

CVE番号:
CVE-2012-5185

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5185

アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top