製品・ソフトウェアに関する情報

JVN脆弱性詳細

Wordpress 用 WP Ultimate Email Marketer プラグインにおけるクロスサイトスクリプティングの脆弱性

Title	Wordpress 用 WP Ultimate Email Marketer プラグインにおけるクロスサイトスクリプティングの脆弱性
Summary	Wordpress 用 WP Ultimate Email Marketer プラグインには、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) campaign/campaignone.php の siteurl パラメータ (2) campaign/campaigntwo.php の action パラメータ (3) campaign/campaigntwo.php の campaignname パラメータ (4) campaign/campaigntwo.php の campaignformat パラメータ (5) campaign/campaigntwo.php の emailtemplate パラメータ (6) list/edit.php の listid パラメータ (7) campaign/editcampaign.php の campaignid パラメータ (8) campaign/editcampaign.php の siteurl パラメータ (9) campaign/selectlistb4send.php の campaignid パラメータ (10) campaign/sendCampaign.php の campaignid パラメータ (11) campaign/sendCampaign.php の campaignname パラメータ (12) campaign/sendCampaign.php の campaignsubject パラメータ (13) campaign/sendCampaign.php の selectedcampaigns パラメータ (14) campaign/updatecampaign.php の campaignid パラメータ (15) campaign/updatecampaign.php の campaignname パラメータ (16) campaign/updatecampaign.php の campaignformat パラメータ (17) campaign/updatecampaign.php の action パラメータ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 24, 2013, midnight
Registration Date	Nov. 7, 2013, 4:06 p.m.
Last Update	Nov. 7, 2013, 4:06 p.m.

CVSS2.0 : 警告
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N

Affected System

Smackcoders

WP Ultimate Email Marketer 1.1.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-3263	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3263
National Vulnerability Database (NVD)
2	CVE-2013-3263	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3263

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Smackcoders
1	Top Page	http://www.smackcoders.com/
WordPress Plugin Directory
2	WP Ultimate Email Marketer	http://wordpress.org/plugins/wp-ultimate-email-marketer/

その他

No	Name	URL
関連文書
1	Secunia Advisory SA53170	http://secunia.com/advisories/53170

Change Log

No	Changed Details	Date of change
0	[2013年11月07日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-3263

Summary	Multiple cross-site scripting (XSS) vulnerabilities in the WP Ultimate Email Marketer plugin 1.1.0 and possibly earlier for Wordpress allow remote attackers to inject arbitrary web script or HTML via the (1) siteurl parameter to campaign/campaignone.php; the (2) action, (3) campaignname, (4) campaignformat, or (5) emailtemplate parameter to campaign/campaigntwo.php; the (6) listid parameter to list/edit.php; the (7) campaignid or (8) siteurl parameter to campaign/editcampaign.php; the (9) campaignid parameter to campaign/selectlistb4send.php; the (10) campaignid, (11) campaignname, (12) campaignsubject, or (13) selectedcampaigns parameter to campaign/sendCampaign.php; or the (14) campaignid, (15) campaignname, (16) campaignformat, or (17) action parameter to campaign/updatecampaign.php.
Publication Date	Nov. 6, 2013, 5:55 a.m.
Registration Date	Jan. 26, 2021, 3:40 p.m.
Last Update	Nov. 21, 2024, 10:53 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.1:-::::wordpress::*
cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.2:-::::wordpress::*
cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin::-::::wordpress::		1.1.0
cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.0:-::::wordpress::*
cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.3:-::::wordpress::*

Related information, measures and tools

No	URL	タグ
1	http://secunia.com/advisories/53170	Vendor Advisory
2	http://secunia.com/advisories/53170	Vendor Advisory
3	http://www.securityfocus.com/bid/62621
4	http://www.securityfocus.com/bid/62621

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html