製品・ソフトウェアに関する情報

JVN脆弱性詳細

PHP iCalendar の print.php における任意の Web スクリプトを挿入される脆弱性

Title	PHP iCalendar の print.php における任意の Web スクリプトを挿入される脆弱性
Summary	PHPIDS は、以下の substr メソッドの使用を適切に処理しないため、任意の Web スクリプトを挿入される脆弱性が存在します。 (1) document.location.serch (2) document.referrer (3) 特定の document.location.hash 使用 (4) 特定の "window[eval" および類似表記 (5) 特定の Function 表記 (6) 特定の '=' 表記 (7) 特定の "with" 表記
Possible impacts	第三者により、任意の Web スクリプトを挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 2, 2007, midnight
Registration Date	Dec. 20, 2012, 6:19 p.m.
Last Update	Dec. 20, 2012, 6:19 p.m.

Affected System

PHPIDS

PHPIDS 20070703 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-3577	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3577
National Vulnerability Database (NVD)
2	CVE-2007-3577	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-3577

ベンダー情報

No	Name	URL
PHPIDS
1	About new XSS vectors and some PHP-IDS filters	https://groups.google.com/forum/?fromgroups=#!topic/php-ids/PsFfadaz26A

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2007-3577

Summary	PHPIDS before 20070703 does not properly handle use of the substr method in (1) document.location.search and (2) document.referrer; (3) certain use of document.location.hash; (4) certain "window[eval" and similar expressions; (5) certain Function expressions; (6) certain '=' expressions, as demonstrated by a 'whatever="something"' sequence; and (7) certain "with" expressions, which allows remote attackers to inject arbitrary web script.
Summary	PHPIDS anterior al 03/07/2007 no maneja adecuadamente el método substr en (1) document.location.search y (2) document.referrer; (3) cierto uso de document.location.hash; (4) cierta expresión "window[eval" y expresiones similares; (5) ciertas expresiones de funciones; (6) ciertas expresiones '=', como ha sido demostrado por la secuencia 'whatever="something"'; y (7) ciertas expresiones "with", lo cual permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección.
Publication Date	July 6, 2007, 5:30 a.m.
Registration Date	Jan. 29, 2021, 2:15 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:phpids:phpids::::::::

Related information, measures and tools

No	URL	refsource
1	http://groups.google.com/group/php-ids/browse_thread/thread/3ec15f69d6b3dba0	cve@mitre.org
2	http://osvdb.org/45759	cve@mitre.org
3	http://sla.ckers.org/forum/read.php?2%2C13209%2C13218	cve@mitre.org
4	https://exchange.xforce.ibmcloud.com/vulnerabilities/35489	cve@mitre.org
5	http://groups.google.com/group/php-ids/browse_thread/thread/3ec15f69d6b3dba0	af854a3a-2127-422b-91ae-364da2661108
6	http://osvdb.org/45759	af854a3a-2127-422b-91ae-364da2661108
7	http://sla.ckers.org/forum/read.php?2%2C13209%2C13218	af854a3a-2127-422b-91ae-364da2661108
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/35489	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List