JVNDB-2010-004417
|
AdPeeps の index.php におけるクロスサイトスクリプティングの脆弱性
|
|
AdPeeps の index.php には、クロスサイトスクリプティングの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
impactsoftcompany
|
|
|
以下の可能性があります。
(1) 第三者により、uid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(2) 第三者により、login_lookup アクションの uid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(3) 第三者により、adminlogin アクションの uid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(4) 第三者により、createcampaign アクションの campaignid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(5) 第三者により、view_account_stats アクションの type パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(6) 第三者により、view_account_stats アクションの period パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(7) 第三者により、view_adrates アクションの uid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(8) 第三者により、account_confirmation アクションの accname パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(9) 第三者により、account_confirmation アクションの loginpass パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(10) 第三者により、setup_account アクションの e9 パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(11) 第三者により、email_advertisers アクションの from パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(12) 第三者により、email_advertisers アクションの message パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(13) 第三者により、edit_ad_package アクションの idno パラメータを介して、任意の Web スクリプトまたは HTML を挿入される
(14) 第三者により、Advertiser Name フィールドを介して、任意の Web スクリプトまたは HTML を挿入される
(15) 第三者により、First Name フィールドを介して、任意の Web スクリプトまたは HTML を挿入される
(16) 第三者により、Last Name フィールドを介して、任意の Web スクリプトまたは HTML を挿入される
(17) 第三者により、Address フィールドを介して、任意の Web スクリプトまたは HTML を挿入される
(18) 第三者により、Phone Number フィールドを介して、任意の Web スクリプトまたは HTML を挿入される
(19) 第三者により、Password Hint フィールドを介して、任意の Web スクリプトまたは HTML を挿入される
(20) 第三者により、URL フィールドを介して、任意の Web スクリプトまたは HTML を挿入される
(21) リモート認証されたユーザにより、view_adrates アクションと関連付けがある不特定のフォームを介して、任意の Web スクリプトまたは HTML を挿入される
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
impactsoftcompany
|
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
|
- CVE-2009-4939
|
|
- National Vulnerability Database (NVD) : CVE-2009-4939
|
|
|
