製品・ソフトウェアに関する情報

JVN脆弱性詳細

futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性

Title	futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性
Summary	futomi's CGI Cafe が提供する高機能アクセス解析CGI には、ウェブページへの解析タグの埋め込み方法に起因するクロスサイトスクリプティングの脆弱性が存在します。 futomi's CGI Cafe が提供する高機能アクセス解析CGI は、ウェブページのアクセスログ解析を行うためのソフトウェアです。高機能アクセス解析CGI には、ウェブページへの解析タグの埋め込み方法に起因するクロスサイトスクリプティングの脆弱性が存在します。なお、開発者によると Professional 版を利用しているユーザで、マニュアルに記載されている "headタグ内に解析タグ用jsファイルをロードする方法" を使用している場合、本脆弱性の影響を受けないとのことです。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: NRIセキュアテクノロジーズ小林克巳氏
Possible impacts	ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
Solution	[解析タグの埋め込み方法を変更する] マニュアルに従って、解析タグの埋め込み方法を "headタグ内に解析タグ用jsファイルをロードする方法" に変更してください。なお、高機能アクセス解析CGI Standard 版を利用している場合、変更前に最新版にアップデートする必要があります。
Publication Date	Sept. 10, 2010, midnight
Registration Date	Sept. 10, 2010, 12:01 p.m.
Last Update	Sept. 10, 2010, 12:01 p.m.

CVSS2.0 : 警告
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N

Affected System

futomi

高機能アクセス解析CGI Professional版

高機能アクセス解析CGI Standard版 4.0.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-2366	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2366
National Vulnerability Database (NVD)
2	CVE-2010-2366	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2366

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
futomi's CGI Cafe
1	高機能アクセス解析CGIをご利用の方へバージョンアップおよび解析タグ変更のお願い	http://www.futomi.com/library/info/2010/20100910.html

その他

No	Name	URL
JVN
1	JVN#35605523	http://jvn.jp/jp/JVN35605523/index.html
SecurityFocus
2	43142	http://www.securityfocus.com/bid/43142

Change Log

No	Changed Details	Date of change
0	[2010年09月10日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-2366

Summary	Cross-site scripting (XSS) vulnerability in futomi CGI Cafe Access Analyzer CGI Professional, and Standard 4.0.2 and earlier, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.
Publication Date	Sept. 14, 2010, 6 a.m.
Registration Date	Jan. 29, 2021, 11:02 a.m.
Last Update	Nov. 21, 2024, 10:16 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::pro:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::std:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::std:::::

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN35605523/index.html
2	http://jvn.jp/en/jp/JVN35605523/index.html
3	http://jvndb.jvn.jp/en/contents/2010/JVNDB-2010-000035.html
4	http://jvndb.jvn.jp/en/contents/2010/JVNDB-2010-000035.html
5	http://www.futomi.com/library/info/2010/20100910.html	Vendor Advisory
6	http://www.futomi.com/library/info/2010/20100910.html	Vendor Advisory
7	http://www.securityfocus.com/bid/43142
8	http://www.securityfocus.com/bid/43142

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::pro:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::std:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::std:::::