製品・ソフトウェアに関する情報

JVN脆弱性詳細

MoinMoin におけるクロスサイトスクリプティングの脆弱性

Title	MoinMoin におけるクロスサイトスクリプティングの脆弱性
Summary	MoinMoin には、クロスサイトスクリプティングの脆弱性が存在します。 AttachFile XSS の本問題は、CVE-2008-0780 と重複、および login XSS の本問題は CVE-2008-0780 と重複する可能性があります。
Possible impacts	第三者により、以下の可能性があります。 (1) formatter/text_gedit.py によって処理された特定の入力を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (2) page name を介して、DeletePage アクションでページがユーザによって正常に削除された際 PageEditor.py の挿入を誘発され、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (3) RenamePage アクションに対して名前変更先のページ名を介して、重複名が原因でユーザの名前変更の試行が失敗する際 PageEditor.py の挿入を誘発され、任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Aug. 28, 2007, midnight
Registration Date	Sept. 25, 2012, 4:59 p.m.
Last Update	Sept. 25, 2012, 4:59 p.m.

Affected System

MoinMoin

MoinMoin 1.5.8 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-1098	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1098
National Vulnerability Database (NVD)
2	CVE-2008-1098	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1098

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
MoinMoin
1	fix gui editor formatter XSS issues	http://hg.moinmo.in/moin/1.5/rev/d0152eeb4499

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-1098

Summary	Multiple cross-site scripting (XSS) vulnerabilities in MoinMoin 1.5.8 and earlier allow remote attackers to inject arbitrary web script or HTML via (1) certain input processed by formatter/text_gedit.py (aka the gui editor formatter); (2) a page name, which triggers an injection in PageEditor.py when the page is successfully deleted by a victim in a DeletePage action; or (3) the destination page name for a RenamePage action, which triggers an injection in PageEditor.py when a victim's rename attempt fails because of a duplicate name. NOTE: the AttachFile XSS issue is already covered by CVE-2008-0781, and the login XSS issue is already covered by CVE-2008-0780.
Publication Date	March 6, 2008, 5:44 a.m.
Registration Date	Jan. 29, 2021, 1:32 p.m.
Last Update	Oct. 4, 2018, 6:53 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:moinmoin:moinmoin::::::::			1.5.8

Related information, measures and tools

No	URL	refsource	タグ
1	http://hg.moinmo.in/moin/1.5/rev/4ede07e792dd	CONFIRM	Exploit
2	http://hg.moinmo.in/moin/1.5/rev/d0152eeb4499	CONFIRM
3	http://moinmo.in/SecurityFixes	CONFIRM
4	http://secunia.com/advisories/29262	SECUNIA
5	http://secunia.com/advisories/29444	SECUNIA
6	http://secunia.com/advisories/30031	SECUNIA
7	http://secunia.com/advisories/33755	SECUNIA
8	http://www.debian.org/security/2008/dsa-1514	DEBIAN
9	http://www.gentoo.org/security/en/glsa/glsa-200803-27.xml	GENTOO
10	http://www.securityfocus.com/bid/28173	BID
11	https://exchange.xforce.ibmcloud.com/vulnerabilities/41037	XF
12	https://usn.ubuntu.com/716-1/	UBUNTU
13	https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00510.html	FEDORA
14	https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00538.html	FEDORA

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html