製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenMRS におけるクロスサイトスクリプティングの脆弱性

Title	OpenMRS におけるクロスサイトスクリプティングの脆弱性
Summary	OpenMRS には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、以下を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) registrationapp/registerPatient.page の givenName パラメータ (2) registrationapp/registerPatient.page の familyName パラメータ (3) registrationapp/registerPatient.page の address1 パラメータ (4) registrationapp/registerPatient.page の address2 パラメータ (5) allergyui/allergy.page の comment パラメータ (6) htmlformentryui/htmlform/enterHtmlForm/submit.action の w10 パラメータ (7) login.htm の HTTP Referer Header (8) htmlformentryui/htmlform/enterHtmlFormWithStandardUi.page の returnUrl パラメータ (9) coreapps/mergeVisits.page の returnUrl パラメータ (10) htmlformentryui/htmlform/enterHtmlFormWithSimpleUi.page の visitId パラメータ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Oct. 20, 2014, midnight
Registration Date	Oct. 28, 2014, 5:15 p.m.
Last Update	Oct. 28, 2014, 5:15 p.m.

Affected System

OpenMRS

OpenMRS 2.1 Standalone Edition

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-8071	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8071
National Vulnerability Database (NVD)
2	CVE-2014-8071	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8071

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
OpenMRS
1	Top Page	http://openmrs.org/

その他

No	Name	URL
関連文書
1	OpenMRS 2.1 Access Bypass / XSS / CSRF	http://packetstormsecurity.com/files/128748/OpenMRS-2.1-Access-Bypass-XSS-CSRF.html

Change Log

No	Changed Details	Date of change
0	[2014年10月28日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-8071

Summary	Multiple cross-site scripting (XSS) vulnerabilities in OpenMRS 2.1 Standalone Edition allow remote attackers to inject arbitrary web script or HTML via the (1) givenName, (2) familyName, (3) address1, or (4) address2 parameter to registrationapp/registerPatient.page; the (5) comment parameter to allergyui/allergy.page; the (6) w10 parameter to htmlformentryui/htmlform/enterHtmlForm/submit.action; the (7) HTTP Referer Header to login.htm; the (8) returnUrl parameter to htmlformentryui/htmlform/enterHtmlFormWithStandardUi.page or (9) coreapps/mergeVisits.page; or the (10) visitId parameter to htmlformentryui/htmlform/enterHtmlFormWithSimpleUi.page.
Publication Date	Oct. 23, 2014, 11:55 p.m.
Registration Date	Jan. 26, 2021, 3:19 p.m.
Last Update	Nov. 21, 2024, 11:18 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:openmrs:openmrs:2.1::::standalone:::

Related information, measures and tools

No	URL	タグ
1	http://packetstormsecurity.com/files/128748/OpenMRS-2.1-Access-Bypass-XSS-CSRF.html	Exploit
2	http://packetstormsecurity.com/files/128748/OpenMRS-2.1-Access-Bypass-XSS-CSRF.html	Exploit
3	http://www.securityfocus.com/bid/70664
4	http://www.securityfocus.com/bid/70664
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/97690
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/97690

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html