ELOG の elogd.c におけるクロスサイトスクリプティングの脆弱性
| Title |
ELOG の elogd.c におけるクロスサイトスクリプティングの脆弱性
|
| Summary |
ELOG の elogd.c は、以下の不備があるため、クロスサイトスクリプティングの脆弱性が存在します。 (1) send_file_direct 関数がエラーメッセージ内で引用しない不備 (2) submit_elog 関数がエラーメッセージ内で適切に処理しない不備
|
| Possible impacts |
第三者により、以下を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) ダウンロードのファイル名 (2) New entry の Type または Category 値 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
Nov. 7, 2006, midnight |
| Registration Date |
Dec. 20, 2012, 6:02 p.m. |
| Last Update |
Dec. 20, 2012, 6:02 p.m. |
|
CVSS2.0 : 注意
|
| Score |
2.6
|
| Vector |
AV:N/AC:H/Au:N/C:N/I:P/A:N |
Affected System
| stefan ritt |
|
elog web logbook 2.6.2 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年12月20日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2006-5791
| Summary |
Multiple cross-site scripting (XSS) vulnerabilities in elogd.c in ELOG 2.6.2 and earlier allow remote attackers to inject arbitrary HTML or web script via (1) the filename for downloading, which is not quoted in an error message by the send_file_direct function, and (2) the Type or Category values in a New entry, which is not properly handled in an error message by the submit_elog function.
|
| Publication Date |
Nov. 8, 2006, 8:07 a.m. |
| Registration Date |
Jan. 29, 2021, 3:49 p.m. |
| Last Update |
July 20, 2017, 10:33 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:stefan_ritt:elog_web_logbook:*:*:*:*:*:*:*:* |
|
2.6.2 |
|
|
Related information, measures and tools
Common Vulnerabilities List