製品・ソフトウェアに関する情報

JVN脆弱性詳細

WordPress 用 Cart66 Lite プラグインの Cart66Product.php におけるクロスサイトリクエストフォージェリの脆弱性

Title	WordPress 用 Cart66 Lite プラグインの Cart66Product.php におけるクロスサイトリクエストフォージェリの脆弱性
Summary	WordPress 用 Cart66 Lite プラグインの Cart66Product.php には、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	第三者により、管理者の認証をハイジャックされ、下記を実行される可能性があります。 (1) 製品を作成または変更される。 (2) 製品名 (Product name) を介して、クロスサイトスクリプティング (XSS) 攻撃を実行される。 (3) wp-admin/admin.php へのリクエストによる製品保存 (product save) アクションの Price description フィールドを介して、クロスサイトスクリプティング (XSS) 攻撃を実行される。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 2, 2013, midnight
Registration Date	Nov. 5, 2013, 5:32 p.m.
Last Update	Nov. 5, 2013, 5:32 p.m.

CVSS2.0 : 警告
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P

Affected System

Reality66

Cart66 Lite 1.5.1.15 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-5977	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5977
National Vulnerability Database (NVD)
2	CVE-2013-5977	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5977

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Reality66
1	Top Page	http://cart66.com/
WordPress Plugin Directory
2	Cart66 Lite :: WordPress Ecommerce	http://wordpress.org/plugins/cart66-lite/
3	Changelog	http://wordpress.org/plugins/cart66-lite/changelog/

その他

No	Name	URL
関連文書
1	Wordpress Cart66 Plugin 1.5.1.14 Multiple Vulnerabilities	http://archives.neohapsis.com/archives/bugtraq/2013-10/0048.html

Change Log

No	Changed Details	Date of change
0	[2013年11月05日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-5977

Summary	Cross-site request forgery (CSRF) vulnerability in Cart66Product.php in the Cart66 Lite plugin before 1.5.1.15 for WordPress allows remote attackers to hijack the authentication of administrators for requests that (1) create or modify products or conduct cross-site scripting (XSS) attacks via the (2) Product name or (3) Price description field in a product save action via a request to wp-admin/admin.php.
Publication Date	Nov. 2, 2013, 12:55 a.m.
Registration Date	Jan. 26, 2021, 3:46 p.m.
Last Update	Nov. 21, 2024, 10:58 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.3:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.0:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.0.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.0.7:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.9:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.7:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.0:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1.8:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.0.8:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.5:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.4:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.8:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin::-::::wordpress::		1.5.1.14
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.4:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.0.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.3.0:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.6:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1:-::::wordpress::*

Related information, measures and tools

No	URL	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2013-10/0048.html	Exploit
2	http://archives.neohapsis.com/archives/bugtraq/2013-10/0048.html	Exploit
3	http://blog.noobroot.com/#%21/2013/10/0-day-wordpress-cart66-plugin-15114.html
4	http://blog.noobroot.com/#%21/2013/10/0-day-wordpress-cart66-plugin-15114.html
5	http://osvdb.org/98352
6	http://osvdb.org/98352
7	http://packetstormsecurity.com/files/123587/WordPress-Cart66-1.5.1.14-Cross-Site-Request-Forgery-Cross-Site-Scripting.html	Exploit
8	http://packetstormsecurity.com/files/123587/WordPress-Cart66-1.5.1.14-Cross-Site-Request-Forgery-Cross-Site-Scripting.html	Exploit
9	http://seclists.org/bugtraq/2013/Oct/52	Exploit
10	http://seclists.org/bugtraq/2013/Oct/52	Exploit
11	http://secunia.com/advisories/55265	Vendor Advisory
12	http://secunia.com/advisories/55265	Vendor Advisory
13	http://wordpress.org/plugins/cart66-lite/changelog/
14	http://wordpress.org/plugins/cart66-lite/changelog/
15	http://www.exploit-db.com/exploits/28959	Exploit
16	http://www.exploit-db.com/exploits/28959	Exploit
17	http://www.securityfocus.com/bid/62975
18	http://www.securityfocus.com/bid/62975
19	https://exchange.xforce.ibmcloud.com/vulnerabilities/87874
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/87874

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.3:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.0:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.0.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.0.7:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.9:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.7:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.0:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1.8:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.0.8:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.5:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.4:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.8:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin::-::::wordpress::		1.5.1.14
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.4:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.0.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.1:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.3.0:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.4.2:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.1.6:-::::wordpress::*
cpe:2.3:a:cart66:cart66_lite_plugin:1.5.1:-::::wordpress::*