NVD Vulnerability Detail

CVE-2011-4275

Summary	Multiple cross-site scripting (XSS) vulnerabilities in iTop (aka IT Operations Portal) 1.1.181 and 1.2.0-RC-282 allow remote attackers to inject arbitrary web script or HTML via (1) a crafted company name, (2) a crafted database server name, (3) a crafted CSV file, (4) a crafted copy-and-paste action, (5) the auth_user parameter in a suggest_pwd action to UI.php, (6) the c[menu] parameter to UniversalSearch.php, (7) the description parameter in a SearchFormToAdd_document_list action to UI.php, (8) the category parameter in an errors action to audit.php, or (9) the suggest_pwd parameter to UI.php.
Publication Date	Nov. 26, 2011, 12:57 p.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:32 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.securityfocus.com/archive/1/520632	Exploit
2	http://www.securityfocus.com/archive/1/520632/100/0/threaded
3	http://www.tele-consulting.com/advisories/TC-SA-2011-02.txt	Exploit
4	http://www.securityfocus.com/archive/1/520632	Exploit
5	http://www.tele-consulting.com/advisories/TC-SA-2011-02.txt	Exploit
6	http://www.securityfocus.com/archive/1/520632/100/0/threaded

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

Combodo iTop におけるクロスサイトスクリプティングの脆弱性

Title	Combodo iTop におけるクロスサイトスクリプティングの脆弱性
Summary	Combodo iTop には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、下記の項目を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) 巧妙に細工された会社名 (2) 巧妙に細工されたデータベースサーバ名 (3) 巧妙に細工された CSV ファイル (4) 巧妙に細工されたコピー＆ペースト動作 (5) UI.php に対する suggest_pwd 動作における auth_user パラメータ (6) UniversalSearch.php に対する c[menu] パラメータ (7) UI.php に対する SearchFormToAdd_document_list 動作における description パラメータ (8) audit.php に対する errors 動作における category パラメータ (9) UI.php に対する suggest_pwd パラメータ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Nov. 26, 2011, midnight
Registration Date	Nov. 29, 2011, 4:23 p.m.
Last Update	Nov. 29, 2011, 4:23 p.m.

Affected System

Combodo

iTop 1.1.181

iTop 1.2.0-RC-282

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4275	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4275
National Vulnerability Database (NVD)
2	CVE-2011-4275	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4275

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Combodo
1	Top Page	http://www.combodo.com/

Change Log

No	Changed Details	Date of change
0	[2011年11月29日] 掲載	Feb. 17, 2018, 10:37 a.m.