製品・ソフトウェアに関する情報

JVN脆弱性詳細

Pivot におけるクロスサイトスクリプティングの脆弱性

Title	Pivot におけるクロスサイトスクリプティングの脆弱性
Summary	Pivot には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、以下を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) pivot/index.php への menu パラメータ (2) pivot/index.php への sort パラメータ (3) pivot/index.php への delete アクションの check 配列パラメータの値 (4) pivot/index.php への delete アクションの check 配列パラメータの要素名 (5) pivot/index.php への edituser アクションの edituser パラメータ (6) pivot/index.php への templates アクションの edit パラメータ (7) pivot/index.php への blog_edit1 アクションの blog パラメータ (8) pivot/index.php への cat_edit アクションの cat パラメータ (9) pivot/index.php への doaction=1 要求の特定の form フィールド (10) pivot/user.php への my_weblog edit_prefs アクションの url フィールド (11) pivot/user.php への my_weblog reg_user アクションの username フィールド
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	June 19, 2009, midnight
Registration Date	Dec. 20, 2012, 7:10 p.m.
Last Update	Dec. 20, 2012, 7:10 p.m.

Affected System

pivot

pivot 1.40.4 および 1.40.7

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2133	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2133
National Vulnerability Database (NVD)
2	CVE-2009-2133	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2133

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
pivot
1	Top Page	http://pivotx.net/

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-2133

Summary	Multiple cross-site scripting (XSS) vulnerabilities in Pivot 1.40.4 and 1.40.7 allow remote attackers to inject arbitrary web script or HTML via the (1) menu or (2) sort parameter to pivot/index.php, (3) the value of a check array parameter in a delete action to pivot/index.php, (4) the element name in a check array parameter in a delete action to pivot/index.php, (5) the edituser parameter in an edituser action to pivot/index.php, (6) the edit parameter in a templates action to pivot/index.php, (7) the blog parameter in a blog_edit1 action to pivot/index.php, (8) the cat parameter in a cat_edit action to pivot/index.php, (9) a certain form field in a doaction=1 request to pivot/index.php, (10) the url field in a my_weblog edit_prefs action to pivot/user.php, or (11) the username (aka name) field in a my_weblog reg_user action to pivot/user.php.
Publication Date	June 20, 2009, 3 a.m.
Registration Date	Jan. 29, 2021, 1:19 p.m.
Last Update	Oct. 11, 2018, 4:39 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://forum.intern0t.net/intern0t-advisories/1119-intern0t-pivot-1-40-4-7-multiple-vulnerabilities.html	MISC	Exploit
2	http://osvdb.org/55085	OSVDB
3	http://osvdb.org/55086	OSVDB
4	http://secunia.com/advisories/35363	SECUNIA	Vendor Advisory
5	http://www.securityfocus.com/archive/1/504300/100/0/threaded	BUGTRAQ
6	http://www.securityfocus.com/bid/35363	BID	Exploit
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/51098	XF
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/51099	XF
9	https://www.exploit-db.com/exploits/8941	EXPLOIT-DB

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html