【活用ガイド】

[English]

JVNDB-2011-000006

複数の Rocomotion 製品におけるクロスサイトスクリプティングの脆弱性

概要

Rocomotion が提供する複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。

Rocomotion が提供する電子掲示板ソフトウェア P board などの複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社キノトロープ 富永 冴樹 氏

CVSS による深刻度 (CVSS とは?)

基本値: 5.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし

影響を受けるシステム


Rocomotion
  • P board 1.18 およびそれ以前
  • P board with G 1.13 およびそれ以前
  • P board R 1.17 およびそれ以前
  • P board R with G 1.17 およびそれ以前
  • P board RI 1.18 およびそれ以前
  • P board RI with G 1.16 およびそれ以前
  • P board RI with GBO 1.12 およびそれ以前
  • P diary R 1.13 およびそれ以前
  • P forum 1.30 およびそれ以前
  • P link 1.11 およびそれ以前
  • P link compact 1.04 およびそれ以前
  • P up board 1.38 およびそれ以前
  • P up board with G 1.27 およびそれ以前
  • P up board with GBO 1.18 およびそれ以前
  • P up board I with G 1.17 およびそれ以前
  • P up board random 1.28 およびそれ以前
  • P up board random 2 1.02 およびそれ以前
  • PM bbs 1.07 およびそれ以前
  • PM forum 1.18 およびそれ以前
  • PM up bbs 1.08 およびそれ以前
  • pplog 3.31 およびそれ以前
  • pplog2 3.37 およびそれ以前

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。

なお、本脆弱性は以下のバージョンで修正されています。
* P board 1.19
* P board with G 1.14
* P board R 1.18
* P board R with G 1.18
* P board RI 1.19
* P board RI with G 1.17
* P board RI with GBO 1.13
* P diary R 1.14
* P forum 1.31
* P link 1.12
* P link compact 1.05
* P up board 1.39
* P up board with G 1.28
* P up board with GBO 1.19
* P up board I with G 1.18
* P up board random 1.29
* P up board random 2 1.03
* PM bbs 1.08
* PM forum 1.19
* PM up bbs 1.09
* pplog 3.32
* pplog2 3.38
ベンダ情報

Rocomotion
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-3931
参考情報

  1. JVN : JVN#09115481
  2. National Vulnerability Database (NVD) : CVE-2010-3931
  3. Secunia Advisory : SA42957
  4. SecurityFocus : 45838
  5. ISS X-Force Database : 64745
  6. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 70495
更新履歴

[2011年01月18日]
  掲載