NVD Vulnerability Detail
Search Exploit, PoC
CVE-2007-0242
Summary

The UTF-8 decoder in codecs/qutfcodec.cpp in Qt 3.3.8 and 4.2.3 does not reject long UTF-8 sequences as required by the standard, which allows remote attackers to conduct cross-site scripting (XSS) and directory traversal attacks via long sequences that decode to dangerous metacharacters.

Publication Date April 4, 2007, 1:19 a.m.
Registration Date Jan. 29, 2021, 2:05 p.m.
Last Update Nov. 7, 2023, 11 a.m.
CVSS2.0 : MEDIUM
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C) なし
完全性への影響(I)
可用性への影響(A) なし
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required はい
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:qt:qt:3.3.8:*:*:*:*:*:*:*
cpe:2.3:a:qt:qt:4.2.3:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Qt の UTF-8 デコーダーにおけるクロスサイトスクリプティングおよびディレクトリトラバーサルの脆弱性
Title Qt の UTF-8 デコーダーにおけるクロスサイトスクリプティングおよびディレクトリトラバーサルの脆弱性
Summary

Qt の UTF-8 デコーダーは、UTF-8 標準で要求された過度に長い UTF-8 文字列を適切に処理しない問題があります。そのため、第三者にメタ文字をデコードした長い文字列を通して、クロスサイトスクリプティングおよびディレクトリトラバーサルの攻撃を受ける可能性があります。

Possible impacts 第三者に Qt を使用するアプリケーション上で不正なスクリプトを実行される可能性があります。また、システム上の任意のファイルやアプリケーションに不正にアクセスされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date April 3, 2007, midnight
Registration Date June 7, 2007, 5:10 p.m.
Last Update Nov. 17, 2011, 11:10 a.m.
Affected System
レッドハット
Red Hat Enterprise Linux 2.1 (as)
Red Hat Enterprise Linux 2.1 (es)
Red Hat Enterprise Linux 2.1 (ws)
Red Hat Enterprise Linux 3 (as)
Red Hat Enterprise Linux 3 (es)
Red Hat Enterprise Linux 3 (ws)
Red Hat Enterprise Linux 4 (as)
Red Hat Enterprise Linux 4 (es)
Red Hat Enterprise Linux 4 (ws)
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 3.0
Red Hat Enterprise Linux Desktop 4.0
Red Hat Enterprise Linux Desktop 5.0 (client)
Red Hat Linux Advanced Workstation 2.1
RHEL Desktop Workstation 5 (client)
ターボリナックス
Turbolinux 10_f
Turbolinux Desktop 10
Turbolinux FUJI 
Turbolinux Multimedia 
Turbolinux Personal 
Turbolinux Server 10
Turbolinux Server 10 (x64)
wizpy 
ターボリナックス ホーム  
サイバートラスト株式会社
Asianux Server 2.0
Asianux Server 2.1
Asianux Server 3 (x86)
Asianux Server 3 (x86-64)
Asianux Server 3.0
Asianux Server 3.0 (x86-64)
Asianux Server 4.0
Asianux Server 4.0 (x86-64)
Trolltech
Qt 3.3.8
Qt 4.2.3
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2007年06月07日]
  掲載
[2007年08月09日]
  影響を受けるシステム:ミラクル・リナックス (1120) の情報追加。
  ベンダ情報: ミラクル・リナックス (1120) 追加。
[2007年09月21日]
  影響を受けるシステム:レッドハット (RHSA-2007:0883) の情報追加。
  ベンダ情報: レッドハット (RHSA-2007:0883) 追加。
[2007年10月03日]
  影響を受けるシステム: ミラクル・リナックス (1140) を更新しました。
  ベンダ情報: ミラクル・リナックス (1140) を追加しました。
[2007年10月17日]
  影響を受けるシステム:ミラクル・リナックス (1142) の情報追加。
  ベンダ情報: ミラクル・リナックス (1142) 追加。
  ベンダ情報:レッドハット(RHSA-2007:0909)を追加しました。
[2007年11月07日]
  影響を受けるシステム:ミラクル・リナックス (qt-3.3.6-20.6AX) の情報追加。
  ベンダ情報: ミラクル・リナックスの情報を追加。
 ・1153
 ・qt-3.3.6-20.6AX
[2007年12月05日]
  ベンダ情報: ミラクル・リナックス (kdelibs-3.5.5-11.15AX) 追加。
[2008年10月30日]
  ベンダ情報:ミラクル・リナックス(qt-3.3.6-23.1AXS3)を追加
[2011年11月17日]
  ベンダ情報:レッドハット (RHSA-2011:1324) の情報を追加		 Feb. 17, 2018, 10:37 a.m.