JVNDB-2015-002697
|
concrete5 におけるクロスサイトスクリプティングの脆弱性
|
concrete5 には、クロスサイトスクリプティングの脆弱性が存在します。
|
CVSS v2 による深刻度 基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
コンクリートファイブ
|
|
第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
(1) index.php/dashboard/system/conversations/bannedwords/success の banned_word[] パラメータ
(2) index.php/dashboard/reports/logs/view の channel パラメータ
(3) index.php/tools/required/permissions/access_entity の accessType パラメータ
(4) index.php/dashboard/system/multilingual/setup/load_icon の msCountry パラメータ
(5) index.php/ccm/system/dialogs/area/design/submit の design/submit の arHandle パラメータ
(6) index.php/ccm/system/dialogs/area/design/submit の design の arHandle パラメータ
(7) index.php/dashboard/pages/single の pageURL パラメータ
(8) index.php/dashboard/system/seo/searchindex/updated の SEARCH_INDEX_AREA_METHOD パラメータ
(9) index.php/dashboard/system/optimization/jobs/job_scheduled の unit パラメータ
(10) index.php/dashboard/system/registration/open/1 の register_notification_email パラメータ
(11) index.php/dashboard/extend/connect/ の PATH_INFO パラメータ
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
コンクリートファイブ
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
- CVE-2015-2250
|
- National Vulnerability Database (NVD) : CVE-2015-2250
- 関連文書 : Multiple XSS Vulnerabilities in Concrete5
|
|