| Title | Apache HTTP Server の mod_negotiation モジュールにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | Apache HTTP Server の mod_negotiation モジュールは、拡張子がリクエスト内で省略されている際に、クロスサイトスクリプティングの脆弱性が存在します。 |
| Possible impacts | 認証されたリモートユーザにより、クロスサイトスクリプティング シーケンスおよびファイル拡張子を伴うファイルをアップロードされることで、(1)「 406 Not Acceptable 」または (2) 「 300 Multiple Choices 」の HTTP 応答内で挿入を誘発され、任意の Web スクリプトまたは HTML を挿入される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Jan. 24, 2008, midnight |
| Registration Date | June 26, 2012, 3:55 p.m. |
| Last Update | Jan. 15, 2013, 5:51 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| Apache Software Foundation |
| Apache HTTP Server 2.2.6 およびそれ以前の 2.2x |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年06月26日] 掲載 [2013年01月15日] ベンダ情報:レッドハット (RHSA-2012:1591) を追加 ベンダ情報:レッドハット (RHSA-2012:1592) を追加 ベンダ情報:レッドハット (RHSA-2012:1594) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Cross-site scripting (XSS) vulnerability in the mod_negotiation module in the Apache HTTP Server 2.2.6 and earlier in the 2.2.x series, 2.0.61 and earlier in the 2.0.x series, and 1.3.39 and earlier in the 1.3.x series allows remote authenticated users to inject arbitrary web script or HTML by uploading a file with a name containing XSS sequences and a file extension, which leads to injection within a (1) "406 Not Acceptable" or (2) "300 Multiple Choices" HTTP response when the extension is omitted in a request for the file. |
|---|---|
| Publication Date | Jan. 25, 2008, 10 a.m. |
| Registration Date | Jan. 29, 2021, 1:30 p.m. |
| Last Update | Nov. 7, 2023, 11:01 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* | 2.2.0 | 2.2.23 | |||
| cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* | 2.4.1 | 2.4.3 | |||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:6.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:6.4.0:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:o:redhat:enterprise_linux:5.0:*:*:*:*:*:*:* | ||||
| 2 | cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* | ||||