製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

Piwigo の admin.php におけるクロスサイトスクリプティングの脆弱性

Title	Piwigo の admin.php におけるクロスサイトスクリプティングの脆弱性
Summary	Piwigo の admin.php には、クロスサイトスクリプティングの脆弱性の脆弱性が存在します。
Possible impacts	第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) configuration モジュールの section パラメータ (2) languages_new モジュールの installstatus パラメータ (3) theme モジュールの theme パラメータ
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 4, 2012, midnight
Registration Date	Aug. 17, 2012, 2:36 p.m.
Last Update	Aug. 17, 2012, 2:36 p.m.

CVSS2.0 : 警告
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N

Affected System

Piwigo

Piwigo 2.3.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-2209	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2209
National Vulnerability Database (NVD)
2	CVE-2012-2209	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2209

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Piwigo
1	2607	http://piwigo.org/bugs/view.php?id=2607
2	Piwigo 2.3.4	http://piwigo.org/forum/viewtopic.php?id=19173
3	Piwigo 2.3.4 Release Notes	http://piwigo.org/releases/2.3.4

Change Log

No	Changed Details	Date of change
0	[2012年08月17日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-2209

Summary	Multiple cross-site scripting (XSS) vulnerabilities in admin.php in Piwigo before 2.3.4 allow remote attackers to inject arbitrary web script or HTML via the (1) section parameter in the configuration module, (2) installstatus parameter in the languages_new module, or (3) theme parameter in the theme module.
Publication Date	Aug. 15, 2012, 7:55 a.m.
Registration Date	Jan. 28, 2021, 2:57 p.m.
Last Update	Nov. 21, 2024, 10:38 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:piwigo:piwigo::::::::			2.3.3

Related information, measures and tools

No	URL	refsource	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2012-04/0196.html		Exploit
2	http://archives.neohapsis.com/archives/bugtraq/2012-04/0196.html		Exploit
3	http://piwigo.org/bugs/view.php?id=2607
4	http://piwigo.org/bugs/view.php?id=2607
5	http://piwigo.org/forum/viewtopic.php?id=19173
6	http://piwigo.org/forum/viewtopic.php?id=19173
7	http://piwigo.org/releases/2.3.4
8	http://piwigo.org/releases/2.3.4
9	http://secunia.com/advisories/48903		Vendor Advisory
10	http://secunia.com/advisories/48903		Vendor Advisory
11	http://www.exploit-db.com/exploits/18782		Exploit
12	http://www.exploit-db.com/exploits/18782		Exploit
13	http://www.securityfocus.com/bid/53245		Exploit
14	http://www.securityfocus.com/bid/53245		Exploit
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/75186
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/75186
17	https://www.htbridge.com/advisory/HTB23085		Exploit
18	https://www.htbridge.com/advisory/HTB23085		Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html