JVNDB-2014-007673
|
couponPHP の管理エリアにおけるクロスサイトスクリプティングの脆弱性
|
couponPHP の管理エリア (admin area) には、クロスサイトスクリプティングの脆弱性が存在します。
|
CVSS v2 による深刻度 基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
couponPHP
|
|
リモートの管理者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
(1) comments_paginate.php の sEcho パラメータ
(2) stores_paginate.php の sEcho パラメータ
(3) admin/index.php の affiliate_url パラメータ
(4) admin/index.php の description パラメータ
(5) admin/index.php の domain パラメータ
(6) admin/index.php の seo[description] パラメータ
(7) admin/index.php の seo[heading] パラメータ
(8) admin/index.php の seo[title] パラメータ
(9) admin/index.php の seo[keywords] パラメータ
(10) admin/index.php の setting[logo] パラメータ
(11) admin/index.php の setting[perpage] パラメータ
(12) admin/index.php の setting[sitename] パラメータ
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
couponPHP
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
- CVE-2014-10035
|
- National Vulnerability Database (NVD) : CVE-2014-10035
- 関連文書 : couponPHP CMS 1.0 Multiple Stored XSS and SQL Injection Vulnerabilities
|
|