製品・ソフトウェアに関する情報
Vulnerability Search
OpenID におけるクロスサイトリクエストフォージェリの脆弱性
Title OpenID におけるクロスサイトリクエストフォージェリの脆弱性
Summary

OpenID は、任意のリモート Web サイトおよびキャッシュされたトークンに関する処理に不備があるため、クロスサイトリクエストフォージェリの脆弱性が存在します。

Possible impacts 第三者により、ユーザが OpenID サーバにログイン後、OpenID が有効なサイトへログインしログアウトすることで、OpenID が有効なサイト上でユーザのログインセッションを復旧される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date March 22, 2007, midnight
Registration Date Sept. 25, 2012, 4:47 p.m.
Last Update Sept. 25, 2012, 4:47 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
OpenID
openid 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-1651
Summary

Cross-site request forgery (CSRF) vulnerability in OpenID allows remote attackers to restore the login session of a user on an OpenID enabled site via unspecified vectors related to an arbitrary remote web site and cached tokens, after the user has signed into an OpenID server, logged into the OpenID enabled site, and then logged out of the OpenID enabled site.

Summary

Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en OpenID permite a atacantes remotos restablecer sesiones de login de un usuario sobre un sitio OpenID habilitado a través de vectores no especificados realacionados con un sitio web remoto de su elección y tokens cacheados, después de que el usuario haya entrado en el servidor OpenID, una vez haya entrado en sitio OpenID y después de haber salido del sitio OpenID.

Publication Date March 24, 2007, 9:19 a.m.
Registration Date Jan. 29, 2021, 2:09 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openid:openid:*:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List