製品・ソフトウェアに関する情報

JVN脆弱性詳細

JSPWiki におけるクロスサイトスクリプティングの脆弱性

Title	JSPWiki におけるクロスサイトスクリプティングの脆弱性
Summary	JSPWiki には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) NewGroup.jsp 内の group パラメータ (2) NewGroup.jsp 内の members パラメータ (3) Edit.jsp 内の edittime パラメータ (4) Comment.jsp 内の edittime パラメータ (5) Comment.jsp 内の author パラメータ (6) Comment.jsp 内の link パラメータ (7) UserPreferences.jsp および Login.jsp 内の loginname パラメータ (8) UserPreferences.jsp および Login.jsp 内の wikiname パラメータ (9) UserPreferences.jsp および Login.jsp 内の fullname パラメータ (10) UserPreferences.jsp および Login.jsp 内の email パラメータ (11) Diff.jsp 内の r1 パラメータ (12) Diff.jsp 内の r2 パラメータ (13) PageInfo.jsp 内の changenote パラメータ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 27, 2007, midnight
Registration Date	Sept. 25, 2012, 4:59 p.m.
Last Update	Sept. 25, 2012, 4:59 p.m.

Affected System

JSPWiki

JSPWiki 2.4.103 および 2.5.139-beta

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-5120	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5120
National Vulnerability Database (NVD)
2	CVE-2007-5120	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-5120

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Apache JSPWiki
1	Top Page	http://www.jspwiki.org/

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2007-5120

Summary	Multiple cross-site scripting (XSS) vulnerabilities in JSPWiki 2.4.103 and 2.5.139-beta allow remote attackers to inject arbitrary web script or HTML via the (1) group and (2) members parameters in (a) NewGroup.jsp; the (3) edittime parameter in (b) Edit.jsp; the (4) edittime, (5) author, and (6) link parameters in (c) Comment.jsp; the (7) loginname, (8) wikiname, (9) fullname, and (10) email parameters in (d) UserPreferences.jsp and (e) Login.jsp; the (11) r1 and (12) r2 parameters in (f) Diff.jsp; and the (13) changenote parameter in (g) PageInfo.jsp.
Publication Date	Sept. 28, 2007, 2:17 a.m.
Registration Date	Jan. 29, 2021, 2:20 p.m.
Last Update	Oct. 16, 2018, 6:40 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://lists.grok.org.uk/pipermail/full-disclosure/2007-September/066096.html	FULLDISC
2	http://secunia.com/advisories/26961	SECUNIA	Patch Vendor Advisory
3	http://securityreason.com/securityalert/3167	SREASON
4	http://www.ecyrd.com/~jalkanen/JSPWiki/2.4.104/ChangeLog	CONFIRM
5	http://www.securityfocus.com/archive/1/480570/100/0/threaded	BUGTRAQ
6	http://www.securityfocus.com/bid/25803	BID	Exploit Patch
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/36766	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html