製品・ソフトウェアに関する情報

JVN脆弱性詳細

Kayako SupportSuite におけるクロスサイトスクリプティングの脆弱性

Title	Kayako SupportSuite におけるクロスサイトスクリプティングの脆弱性
Summary	Kayako SupportSuite には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、以下のパラメータ、またはフィールドを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) livesupport startclientchat アクション内の visitor/index.php への sessionid パラメータ (2) news view アクション内の index.php への filter パラメータ (3) アカウント作成内の Full Name フィールド (4) チケットオープン内の Full Name フィールド (5) チャットリクエスト操作内の Full Name フィールド
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Aug. 15, 2008, midnight
Registration Date	Sept. 25, 2012, 5:17 p.m.
Last Update	Sept. 25, 2012, 5:17 p.m.

Affected System

Kayako

supportsuite 3.20.02 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-3700	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3700
National Vulnerability Database (NVD)
2	CVE-2008-3700	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3700

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Kayako
1	Top Page	http://www.kayako.com/

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-3700

Summary	Multiple cross-site scripting (XSS) vulnerabilities in Kayako SupportSuite 3.20.02 and earlier allow remote attackers to inject arbitrary web script or HTML via (1) the sessionid parameter in a livesupport startclientchat action to visitor/index.php; (2) the filter parameter in a news view action to index.php; or the Full Name field in a (3) account creation, (4) ticket opening, or (5) chat request operation.
Summary	Multiples vulnerabilidades de Secuencias de comandos en sitios cruzados (XSS) en versiones de Kayako SupportSuite 3.20.02 y anteriores, permiten a atacantes remotos inyectar scripts web o HTML arbitrarios a través de (1) el parámetro sessionid en una acción livesupport startclientchat en visitor/index.php, (2) el parámetro filter en una accion de ver noticia en index.php, o el campo nombre completo en (3) la creación de la cuenta, (4) la apertura de tickets, o (5) una operación de petición de chat.
Publication Date	Aug. 16, 2008, 5:41 a.m.
Registration Date	Jan. 29, 2021, 1:41 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://forums.kayako.com/f3/3-30-00-stable-released-18304/	cve@mitre.org
2	http://osvdb.org/47613	cve@mitre.org
3	http://osvdb.org/47614	cve@mitre.org
4	http://osvdb.org/47615	cve@mitre.org
5	http://secunia.com/advisories/31431	cve@mitre.org
6	http://www.gulftech.org/?node=research&article_id=00123-08092008	cve@mitre.org
7	http://www.securityfocus.com/bid/30642	cve@mitre.org
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/44382	cve@mitre.org
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/44383	cve@mitre.org
10	http://forums.kayako.com/f3/3-30-00-stable-released-18304/	af854a3a-2127-422b-91ae-364da2661108
11	http://osvdb.org/47613	af854a3a-2127-422b-91ae-364da2661108
12	http://osvdb.org/47614	af854a3a-2127-422b-91ae-364da2661108
13	http://osvdb.org/47615	af854a3a-2127-422b-91ae-364da2661108
14	http://secunia.com/advisories/31431	af854a3a-2127-422b-91ae-364da2661108
15	http://www.gulftech.org/?node=research&article_id=00123-08092008	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securityfocus.com/bid/30642	af854a3a-2127-422b-91ae-364da2661108
17	https://exchange.xforce.ibmcloud.com/vulnerabilities/44382	af854a3a-2127-422b-91ae-364da2661108
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/44383	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html