製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

DKScript.com Dragon's Kingdom Script におけるクロスサイトスクリプティングの脆弱性

タイトル	DKScript.com Dragon's Kingdom Script におけるクロスサイトスクリプティングの脆弱性
概要	DKScript.com Dragon's Kingdom Script には、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	攻撃者により、以下に含まれる IMG 要素の SRC 属性内の javascript URI を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) gamemail.php 内の do=write アクションの Subject フィールド (2) gamemail.php 内の do=write アクションの Message フィールド (3) dk.php がアクセスする index.php の do=onlinechar アクション内の Gender フィールド (4) dk.php がアクセスする index.php の do=onlinechar アクション内の Country/Location フィールド (5) dk.php がアクセスする index.php の do=onlinechar アクション内の MSN メッセンジャフィールド (6) dk.php がアクセスする index.php の do=onlinechar アクション内の AOL インスタントメッセンジャフィールド (7) dk.php がアクセスする index.php の do=onlinechar アクション内の Yahoo インスタントメッセンジャフィールド (8) dk.php がアクセスする index.php の do=onlinechar アクション内の ICQ フィールド (9) general.php の do=new アクション内の Title フィールド (10) general.php の do=new アクション内の Message フィールド (11) 他の Forum 送信の不特定フィールド (12) Forum 返信の不特定フィールド内
対策	参考情報を参照して適切な対策を実施してください。
公表日	2006年7月12日0:00
登録日	2012年12月20日18:02
最終更新日	2012年12月20日18:02

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

dkscript

dragons kingdom script 1.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-3539	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3539
National Vulnerability Database (NVD)
2	CVE-2006-3539	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-3539

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2006-3539

概要	Multiple cross-site scripting (XSS) vulnerabilities in DKScript.com Dragon's Kingdom Script 1.0 allow remote attackers to inject arbitrary web script or HTML via a javascript URI in the SRC attribute of an IMG element in the (1) Subject and (2) Message fields in a do=write (aka Send Mail Message) action in gamemail.php; the (3) Gender, (4) Country/Location, (5) MSN Messenger, (6) AOL Instant Messenger, (7) Yahoo Instant Messenger, and (8) ICQ fields in a do=onlinechar (aka Edit your Profile) action in index.php, as accessed by dk.php; a javascript URI in the SRC attribute of an IMG element in the (9) Title and (10) Message fields in a do=new (aka Create Thread) action in general.php; and a javascript URI in the SRC attribute of an IMG element in unspecified fields in (11) other Forum posts and (12) Forum replies.
公表日	2006年7月13日9:05
登録日	2021年1月29日15:41
最終更新日	2018年10月19日1:47

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:dkscript:dragons_kingdom_script:1.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://secunia.com/advisories/20662	SECUNIA	Vendor Advisory
2	http://www.securityfocus.com/archive/1/437753/100/0/threaded	BUGTRAQ
3	http://www.securityfocus.com/bid/18535	BID
4	http://www.vupen.com/english/advisories/2006/2439	VUPEN	Vendor Advisory
5	http://www.youfucktard.com/xsp/dragking1.jpg	MISC
6	http://www.youfucktard.com/xsp/dragking2.jpg	MISC
7	http://www.youfucktard.com/xsp/dragking3.jpg	MISC
8	http://www.youfucktard.com/xsp/dragking4.jpg	MISC
9	http://www.youfucktard.com/xsp/dragking5.jpg	MISC
10	http://www.youfucktard.com/xsp/dragking6.jpg	MISC
11	http://www.youfucktard.com/xsp/dragking7.jpg	MISC
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/27390	XF

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html