製品・ソフトウェアに関する情報

JVN脆弱性詳細

PHD Help Desk におけるクロスサイトスクリプティングの脆弱性

Title	PHD Help Desk におけるクロスサイトスクリプティングの脆弱性
Summary	PHD Help Desk には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、以下を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) area.php への PATH_INFO (2) area.php への pagina パラメータ (3) area.php への sentido パラメータ (4) area.php への q_registros パラメータ (5) area.php への orden パラメータ (6) solic_display.php への q_registros パラメータ (7) area_list.php への PATH_INFO (8) area_list.php への q_registros パラメータ (9) atributo.php への PATH_INFO (10) atributo_list.php への pagina パラメータ (11) atributo_list.php への q_registros パラメータ (12) atributo_list.php への orden パラメータ (13) atributo_list.php への名前の先頭に "sentido" を持つ任意のパラメータ (14) caso_insert.php への PATH_INFO
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Nov. 23, 2009, midnight
Registration Date	Sept. 25, 2012, 5:38 p.m.
Last Update	Sept. 25, 2012, 5:38 p.m.

Affected System

phd

phd help desk 1.43

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4047	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4047
National Vulnerability Database (NVD)
2	CVE-2009-4047	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4047

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
p-hd
1	Top Page	http://www.p-hd.com.ar/

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-4047

Summary	Multiple cross-site scripting (XSS) vulnerabilities in PHD Help Desk 1.43 allow remote attackers to inject arbitrary web script or HTML via (1) the PATH_INFO to area.php; the (2) pagina, (3) sentido, (4) q_registros, and (5) orden parameters to area.php; (6) the q_registros parameter to solic_display.php; (7) the PATH_INFO to area_list.php; (8) the q_registros parameter to area_list.php; (9) the PATH_INFO to atributo.php; the (10) pagina, (11) q_registros, and (12) orden parameters to atributo_list.php; (13) an arbitrary parameter name beginning with "sentido" to atributo_list.php; and (14) the PATH_INFO to caso_insert.php. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information.
Publication Date	Nov. 24, 2009, 2:30 a.m.
Registration Date	Jan. 29, 2021, 1:25 p.m.
Last Update	Nov. 24, 2009, 2:30 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:p-hd:phd_help_desk:1.43:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://osvdb.org/60085	OSVDB
2	http://osvdb.org/60086	OSVDB
3	http://osvdb.org/60087	OSVDB
4	http://osvdb.org/60088	OSVDB
5	http://osvdb.org/60089	OSVDB
6	http://osvdb.org/60090	OSVDB
7	http://secunia.com/advisories/37375	SECUNIA	Exploit Vendor Advisory
8	http://www.securityfocus.com/bid/37029	BID	Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html