製品・ソフトウェアに関する情報

JVN脆弱性詳細

Drupal 用の Date モジュールの Date Tools サブモジュールにおけるクロスサイトスクリプティングの脆弱性

Title	Drupal 用の Date モジュールの Date Tools サブモジュールにおけるクロスサイトスクリプティングの脆弱性
Summary	Drupal 用の Date モジュールの Date Tools サブモジュールには、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	"データツールの使用"、または "コンテンツタイプ管理" 権限を伴うリモート認証されたユーザにより、"コンテンツタイプラベル" フィールドを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 29, 2009, midnight
Registration Date	June 26, 2012, 4:18 p.m.
Last Update	June 26, 2012, 4:18 p.m.

Affected System

Drupal

Karen Stevenson

Date 6.x-2.3 未満の 6.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3156	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3156
National Vulnerability Database (NVD)
2	CVE-2009-3156	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3156

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-3156

Summary	Cross-site scripting (XSS) vulnerability in the Date Tools sub-module in the Date module 6.x before 6.x-2.3 for Drupal allows remote authenticated users, with "use date tools" or "administer content types" privileges, to inject arbitrary web script or HTML via a "Content type label" field.
Summary	Vulnerabilidad de ejecución de secuencias de comandos de sitios cruzados (XSS) en el sub-modulo Date Tools del modulo Date v6.x anteriores a 6.x-2.3 para Drupal permite a usuarios remotos autenticados con privilegios de "use date tools" o "administer content types" inyectar secuencias de comandos web o HTML arbitrarios a través del campo "Content type label".
Publication Date	Sept. 11, 2009, 3:30 a.m.
Registration Date	Jan. 29, 2021, 1:22 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:drupal:drupal::::::::

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:karen_stevenson:date:6.x-1.0-beta:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-1.x-dev:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc1::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc2::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc3::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc4::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc5::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc6::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta2:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta3:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta4:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.1:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.2:::::::*

Related information, measures and tools

No	URL	refsource
1	http://drupal.org/node/534332	cve@mitre.org
2	http://drupal.org/node/534636	cve@mitre.org
3	http://lampsecurity.org/drupal-date-xss-vulnerability	cve@mitre.org
4	http://secunia.com/advisories/36006	cve@mitre.org
5	http://www.osvdb.org/56608	cve@mitre.org
6	http://www.securityfocus.com/bid/35790	cve@mitre.org
7	http://www.vupen.com/english/advisories/2009/2103	cve@mitre.org
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/52143	cve@mitre.org
9	https://www.redhat.com/archives/fedora-package-announce/2009-July/msg01312.html	cve@mitre.org
10	https://www.redhat.com/archives/fedora-package-announce/2009-July/msg01339.html	cve@mitre.org
11	http://drupal.org/node/534332	af854a3a-2127-422b-91ae-364da2661108
12	http://drupal.org/node/534636	af854a3a-2127-422b-91ae-364da2661108
13	http://lampsecurity.org/drupal-date-xss-vulnerability	af854a3a-2127-422b-91ae-364da2661108
14	http://secunia.com/advisories/36006	af854a3a-2127-422b-91ae-364da2661108
15	http://www.osvdb.org/56608	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securityfocus.com/bid/35790	af854a3a-2127-422b-91ae-364da2661108
17	http://www.vupen.com/english/advisories/2009/2103	af854a3a-2127-422b-91ae-364da2661108
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/52143	af854a3a-2127-422b-91ae-364da2661108
19	https://www.redhat.com/archives/fedora-package-announce/2009-July/msg01312.html	af854a3a-2127-422b-91ae-364da2661108
20	https://www.redhat.com/archives/fedora-package-announce/2009-July/msg01339.html	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:karen_stevenson:date:6.x-1.0-beta:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-1.x-dev:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc1::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc2::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc3::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc4::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc5::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0:rc6::::::
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta2:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta3:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.0-beta4:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.1:::::::*
cpe:2.3:a:karen_stevenson:date:6.x-2.2:::::::*