JVNDB-2011-002327
|
PunBB の include/functions.php におけるクロスサイトスクリプティングの脆弱性
|
|
PunBB の include/functions.php には、クロスサイトスクリプティングの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
PunBB
|
|
|
第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
(1) delete.php に対する id パラメータ
(2) delete.php に対する form_sent パラメータ
(3) delete.php に対する csrf_token パラメータ
(4) delete.php に対する req_confirm パラメータ
(5) delete.php に対する delete パラメータ
(6) edit.php に対する id パラメータ
(7) edit.php に対する form_sent パラメータ
(8) edit.php に対する csrf_token パラメータ
(9) edit.php に対する req_message パラメータ
(10) edit.php に対する submit パラメータ
(11) login.php に対する action パラメータ
(12) login.php に対する form_sent パラメータ
(13) login.php に対する csrf_token パラメータ
(14) login.php に対する req_email パラメータ
(15) login.php に対する request_pass パラメータ
(16) misc.php に対する email パラメータ
(17) misc.php に対する form_sent パラメータ
(18) misc.php に対する redirect_url パラメータ
(19) misc.php に対する csrf_token パラメータ
(20) misc.php に対する req_subject パラメータ
(21) misc.php に対する req_message パラメータ
(22) misc.php に対する submit パラメータ
(23) profile.php に対する action パラメータ
(24) profile.php に対する id パラメータ
(25) profile.php に対する form_sent パラメータ
(26) profile.php に対する csrf_token パラメータ
(27) profile.php に対する req_old_password パラメータ
(28) profile.php に対する req_new_password1 パラメータ
(29) profile.php に対する req_new_password2 パラメータ
(30) profile.php に対する update parameter パラメータ
(31) register.php に対する action パラメータ
(32) register.php に対する form_sent パラメータ
(33) register.php に対する csrf_token パラメータ
(34) register.php に対する req_username パラメータ
(35) register.php に対する req_password1 パラメータ
(36) register.php に対する req_password2 パラメータ
(37) register.php に対する req_email1 パラメータ
(38) register.php に対する timezone パラメータ
(39) register.php に対する register パラメータ
|
|
ベンダ情報及び参考情報を参照して適切な対策を実施してください。
|
|
PunBB
|
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
|
- CVE-2011-3371
|
|
- National Vulnerability Database (NVD) : CVE-2011-3371
|
|
|
