【活用ガイド】

JVNDB-2007-004215

OWM におけるクロスサイトスクリプティングの脆弱性

概要

Open Webmail (OWM) には、クロスサイトスクリプティングの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


open webmail
  • open webmail 2.52 20060831 およびそれ以前

想定される影響

第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
(1) openwebmail-main.pl への searchtype パラメータ
(2) openwebmail-main.pl への longpage パラメータ
(3) openwebmail-main.pl への page パラメータ
(4) openwebmail-prefs.pl への prefs_caller パラメータ
(5) openwebmail-prefs.pl への userfirsttime パラメータ
(6) openwebmail-prefs.pl への page パラメータ
(7) openwebmail-prefs.pl への sort パラメータ
(8) openwebmail-prefs.pl への folder パラメータ
(9) openwebmail-prefs.pl への message_id パラメータ
(10) openwebmail-send.pl への compose_caller パラメータ
(11) openwebmail-send.pl への msgdatetype パラメータ
(12) openwebmail-send.pl への keyword パラメータ
(13) openwebmail-send.pl への searchtype パラメータ
(14) openwebmail-send.pl への folder パラメータ
(15) openwebmail-send.pl への page パラメータ
(16) openwebmail-send.pl への sort パラメータ
(17) openwebmail-folder.pl への folder パラメータ
(18) openwebmail-folder.pl への page パラメータ
(19) openwebmail-folder.pl への sort パラメータ
(20) openwebmail-webdisk.pl への searchtype パラメータ
(21) openwebmail-webdisk.pl への page パラメータ
(22) openwebmail-webdisk.pl への filesort パラメータ
(23) openwebmail-webdisk.pl への singlepage パラメータ
(24) openwebmail-webdisk.pl への showhidden パラメータ
(25) openwebmail-webdisk.pl への showthumbnail パラメータ
(26) openwebmail-webdisk.pl への message_id パラメータ
(27) openwebmail-advsearch.pl への folder パラメータ
(28) openwebmail-abook.pl への abookcollapse パラメータ
(29) openwebmail-abook.pl への abooksearchtype パラメータ
(30) openwebmail-abook.pl への abooksort パラメータ
(31) openwebmail-abook.pl への abooklongpage パラメータ
(32) openwebmail-abook.pl への abookpage パラメータ
(33) openwebmail-abook.pl への message_id パラメータ
(34) openwebmail-abook.pl への searchtype パラメータ
(35) openwebmail-abook.pl への msgdatetype パラメータ
(36) openwebmail-abook.pl への sort パラメータ
(37) openwebmail-abook.pl への page パラメータ
(38) openwebmail-abook.pl への rootxowmuid パラメータ
(39) openwebmail-abook.pl への listviewmode パラメータ
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

open webmail
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-4172
参考情報

  1. National Vulnerability Database (NVD) : CVE-2007-4172
更新履歴

  • [2012年09月25日]
      掲載

公表日2007/08/07
登録日2012/09/25
最終更新日2012/09/25