JVNDB-2011-003188
|
vTiger CRM におけるクロスサイトスクリプティングの脆弱性
|
|
vTiger CRM には、クロスサイトスクリプティングの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Vtiger
|
|
|
第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
Calendar モジュールに対する
(1) CalendarAjax アクションの viewname パラメータ
(2) DetailView アクションの activity_mode パラメータ
(3) EditView アクションの contact_id パラメータ
(4) EditView アクションの parent_id パラメータ
(5) index アクションの day パラメータ
(6) index アクションの month パラメータ
(7) index アクションの subtab パラメータ
(8) index アクションの view パラメータ
(9) index アクションの viewOption パラメータ
(10) ListView アクションの start パラメータ
Campaigns モジュールに対する
(11) EditView アクションの return_action パラメータ
(12) EditView アクションの return_module パラメータ
(13) index アクションの query パラメータ
com_vtiger_workflow モジュールに対する
(14) editworkflow アクションの return_url パラメータ
(15) editworkflow アクションの workflow_id パラメータ
Dashboard モジュールに対する
(16) index アクションの display_view パラメータ
Potentials モジュールに対する
(17) ListView アクションの closingdate_end パラメータ
(18) ListView アクションの closingdate_start パラメータ
(19) ListView アクションの date_closed パラメータ
(20) ListView アクションの owner パラメータ
(21) ListView アクションの leadsource パラメータ
(22) ListView アクションの sales_stage パラメータ
(23) ListView アクションの type パラメータ
Reports モジュールに対する
(24) SaveandRun アクションの folderid パラメータ
Settings module モジュールに対する
(25) createnewgroup アクションの returnaction パラメータ
(26) createnewgroup アクションの groupId パラメータ
(27) createrole アクションの mode パラメータ
(28) createrole アクションの parent パラメータ
(29) ModuleManager アクションの src_module パラメータ
(30) profilePrivileges アクションの mode パラメータ
(31) profilePrivileges アクションの profile_id パラメータ
(32) RoleDetailView アクションの roleid パラメータ
Home モジュールに対する
(33) action パラメータ
phprint.php に対する
(34) module パラメータ
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
Vtiger
|
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
|
- CVE-2011-4670
|
|
- National Vulnerability Database (NVD) : CVE-2011-4670
|
|
- [2011年12月05日]
掲載
[2011年12月08日]
想定される影響:モジュール名を Poten! tials から Potentials へ修正
|
