製品・ソフトウェアに関する情報

JVN脆弱性詳細

CA SiteMinder における J2EE アプリケーションのクロスサイトスクリプティングに対する保護を回避される脆弱性

Title	CA SiteMinder における J2EE アプリケーションのクロスサイトスクリプティングに対する保護を回避される脆弱性
Summary	CA SiteMinder には、J2EE アプリケーションのクロスサイトスクリプティングに対する保護を回避される脆弱性が存在します。
Possible impacts	第三者により、ブラックリストに登録された文字列の代わりに、非標準の “overlong Unicode” を含んだリクエストを介して、J2EE アプリケーションのクロスサイトスクリプティングに対する保護を回避される可能性があります。
Solution	ベンダ情報及び参考情報を参照して適切な対策を実施してください。
Publication Date	Aug. 11, 2009, midnight
Registration Date	Dec. 27, 2010, 11:19 a.m.
Last Update	Dec. 27, 2010, 11:19 a.m.

Affected System

CA Technologies

CA SiteMinder

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2705	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2705
National Vulnerability Database (NVD)
2	CVE-2009-2705	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2705

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
CA SUPPORT ONLINE
1	Top Page	https://support.ca.com

Change Log

No	Changed Details	Date of change
0	[2010年12月27日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-2705

Summary	CA SiteMinder allows remote attackers to bypass cross-site scripting (XSS) protections for J2EE applications via a request containing non-canonical, "overlong Unicode" in place of blacklisted characters.
Publication Date	Aug. 11, 2009, 7:30 p.m.
Registration Date	Jan. 29, 2021, 1:21 p.m.
Last Update	Feb. 14, 2024, 10:17 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://i8jesus.com/?p=55	MISC	URL Repurposed

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html