【活用ガイド】

[English]

JVNDB-2009-000019

LovPop.net 製 apricot.php におけるクロスサイトスクリプティングの脆弱性

概要

LovPop.net が提供する apricot.php には、クロスサイトスクリプティングの脆弱性が存在します。

LovPop.net が提供する apricot.php は、ウェブページのアクセスログ解析を行うためのソフトウェアです。apricot.php には、クロスサイトスクリプティングの脆弱性が存在します。

なお、apricot.php は 2009年3月19日をもって、公開およびメンテナンスを終了しています。そのため、引き続きアクセスログ解析ソフトを使用する場合は、同等の機能が実装された他製品の使用を推奨します。

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


LovPop.net
  • apricot.php

想定される影響

ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。
対策

[apricot.php を使用しない]
パッチ提供の予定が無いため、apricot.php の使用を停止し、同等の機能が実装された他製品に切り替えることをお勧めします。
ベンダ情報

LovPop.net
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2009-1448
参考情報

  1. JVN : JVN#82744714
  2. National Vulnerability Database (NVD) : CVE-2009-1448
  3. ISS X-Force Database : 49948
  4. JVN iPedia (English) : JVNDB-2009-000019
更新履歴

  • [2009年04月16日]
      掲載

公表日2009/04/16
登録日2009/04/16
最終更新日2009/04/16