製品・ソフトウェアに関する情報

JVN脆弱性詳細

Mozilla Firefox 用の Firebug エクステンションにおけるクロスゾーンスクリプティングの脆弱性

タイトル	Mozilla Firefox 用の Firebug エクステンションにおけるクロスゾーンスクリプティングの脆弱性
概要	Mozilla Firefox 用の Firebug エクステンションの console.log 関数で使用される DOM テンプレート (domplates) は、プロパティ名内に HTML エスケープに関する不備があるため、クロスゾーンスクリプティングの脆弱性が存在します。
想定される影響	第三者により、ゾーン制限を回避される、任意の file:// URI を読まれる、またはブラウザの chrome 内で任意のコードを実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2007年4月5日0:00
登録日	2012年9月25日16:47
最終更新日	2012年9月25日16:47

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

parakey inc.

firebug 1.03 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-1878	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1878
National Vulnerability Database (NVD)
2	CVE-2007-1878	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-1878

ベンダー情報

No	名前	URL
parakey inc.
1	Firebug	https://addons.mozilla.org/en-US/firefox/addon/firebug/

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-1878

概要	Cross-zone scripting vulnerability in the DOM templates (domplates) used by the console.log function in the Firebug extension before 1.03 for Mozilla Firefox allows remote attackers to bypass zone restrictions, read arbitrary file:// URIs, or execute arbitrary code in the browser chrome, as demonstrated via the runFile function, related to lack of HTML escaping in the property name.
概要	Una vulnerabilidad de tipo Cross-zone scripting en las plantillas DOM (domplates) utilizadas por la función console.log en la extensión Firebug anterior a la versión 1.03 para Mozilla Firefox permite a los atacantes remotos omitir las restricciones de zona, leer URI arbitrarios file:// o ejecutar código arbitrario en el navegador chrome, como es demostrado por medio de la función runFile, relacionado con la falta de escape HTML en el nombre property.
公表日	2007年4月6日9:19
登録日	2021年1月29日14:10
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:parakey_inc.:firebug:1.01:::::::*
cpe:2.3:a:parakey_inc.:firebug:1.02:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://larholm.com/2007/04/06/0day-vulnerability-in-firebug/	cve@mitre.org
2	http://secunia.com/advisories/24743	cve@mitre.org
3	http://securityreason.com/securityalert/2525	cve@mitre.org
4	http://www.getfirebug.com/blog/2007/04/04/security-update/	cve@mitre.org
5	http://www.gnucitizen.org/blog/firebug-goes-evil	cve@mitre.org
6	http://www.securityfocus.com/archive/1/464740/100/0/threaded	cve@mitre.org
7	http://www.securityfocus.com/archive/1/464786/100/0/threaded	cve@mitre.org
8	http://www.securityfocus.com/bid/23315	cve@mitre.org
9	http://www.vupen.com/english/advisories/2007/1272	cve@mitre.org
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/33451	cve@mitre.org
11	http://larholm.com/2007/04/06/0day-vulnerability-in-firebug/	af854a3a-2127-422b-91ae-364da2661108
12	http://secunia.com/advisories/24743	af854a3a-2127-422b-91ae-364da2661108
13	http://securityreason.com/securityalert/2525	af854a3a-2127-422b-91ae-364da2661108
14	http://www.getfirebug.com/blog/2007/04/04/security-update/	af854a3a-2127-422b-91ae-364da2661108
15	http://www.gnucitizen.org/blog/firebug-goes-evil	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securityfocus.com/archive/1/464740/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securityfocus.com/archive/1/464786/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
18	http://www.securityfocus.com/bid/23315	af854a3a-2127-422b-91ae-364da2661108
19	http://www.vupen.com/english/advisories/2007/1272	af854a3a-2127-422b-91ae-364da2661108
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/33451	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧