重要な情報サマリー 脆弱性情報 名称: Quick Polls 1.0.1 ローカルファイルインクルージョン / 削除 CVE番号: CVE-2011-1099 CWE番号: CWE-22 リスクレベル: 中 説明 説明: Quick Polls には、 内の関数に対するヌルバイト攻撃によって、ローカルファイルインクルージョンとローカルファイル削除を可能にする2つの脆弱性が存在します。 バージョン: 1.0.1 PoC エクスプロイト ローカルファイルインクルージョン (LFI): ローカルファイル削除 (LFD): 注意すべき点 注意: エクスプロイトを成功させるには、 が無効化されている必要があります。 解決策 バージョン 1.0.2 以上にアップグレードする タイムライン 2011/02/05 - 初回ベンダーへの開示 2011/02/07 - ベンダーによる修正と新バージョンのリリース 2011/02/07 - 公開開示日のベンダーとの確認 2011/03/06 - 公開開示 参照リンク http://www.focalmedia.net/create_voting_poll.html http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1099 http://www.uncompiled.com/2011/03/quick-polls-local-file-inclusion-deletion-vulnerabilities-cve-2011-1099/