JVNDB-2005-000771

[English]
JVNDB-2005-000771
Wiki クローンにおけるクロスサイトスクリプティングの脆弱性
概要
複数の Wiki クローン実装のファイル添付機能において、クロスサイトスクリプティングにつながる脆弱性が存在します。これにより、Wiki 利用者のブラウザ上で任意のスクリプトが実行される可能性があります。本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。報告者: 株式会社ビジネス・アーキテクツ　太田良典氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

AsWiki AsWiki (attach pluginを利用時のみ) FreeStyleWiki Project FreeStyleWiki 3.5.7 およびそれ以前 FSWikiLite 0.0.10 およびそれ以前 Hiki Development Team Hiki 0.6.5 およびそれ以前 PukiWiki PukiWiki 1.3.x, 1.4.x Wikiもどき Wikiもどき 20050205版より以前

想定される影響
添付ファイルを閲覧したユーザのブラウザ上でスクリプトが実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
AsWiki ASDP : AsWiki FreeStyleWiki Project FreeStyleWiki : 2005-5-19 Hiki Development Team Hiki ニュース : Hiki Advisory 2005-05-19 PukiWiki PukiWiki Errata : Default setting of file-attaching function allows XSS (- 1.4.5_1) (日本語) Wikiもどき Wikiもどきセキュリティ情報 : ページへ添付したファイルによる脆弱性 (2005-05-19)
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?

参考情報
JVN : JVN#465742E4 IPA セキュリティセンター : JVN_465742E4
更新履歴
[2007年04月01日] 掲載


公表日	2005/05/19
登録日	2007/04/01
最終更新日	2007/04/01

Wiki クローンにおけるクロスサイトスクリプティングの脆弱性