製品・ソフトウェアに関する情報

JVN脆弱性詳細

National Rail Enquiries Live Departure Boards ガジェットにおけるクロスサイトスクリプティングの脆弱性

タイトル	National Rail Enquiries Live Departure Boards ガジェットにおけるクロスサイトスクリプティングの脆弱性
概要	National Rail Enquiries Live Departure Boards ガジェットには、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	リモートの National Rail Enquiries サーバ、または攻撃者により、レスポンス本体を介して、任意の Web スクリプトまたは HTML を挿入される、および任意のコードを実行される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2008年4月29日0:00
登録日	2012年9月25日17:16
最終更新日	2012年9月25日17:16

影響を受けるシステム

national rail enquiries

national rail enquiries live departure boards 1.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-2011	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2011
National Vulnerability Database (NVD)
2	CVE-2008-2011	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-2011

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
national rail enquiries
1	National Rail Enquiries Live Departure Boards	http://www.nationalrail.co.uk/times_fares/ldb/

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-2011

概要	Cross-site scripting (XSS) vulnerability in the National Rail Enquiries Live Departure Boards gadget before 1.1 allows remote National Rail Enquiries servers or man-in-the-middle attackers to inject arbitrary web script or HTML, and execute arbitrary code, via a response body, as demonstrated by a SCRIPT element that references a vbscript: URI.
公表日	2008年4月30日9:10
登録日	2021年1月29日13:35
最終更新日	2017年8月8日10:30

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:national_rail_enquiries:national_rail_enquiries_live_departure_boards::::::::			1.1

No	URL	refsource	タグ
1	http://www.mwrinfosecurity.com/news/1690.html	MISC
2	http://www.mwrinfosecurity.com/publications/mwri_national-rail-enquiries-gadget-advisory_2008-04-24.pdf	MISC	Patch
3	http://www.securityfocus.com/bid/28933	BID
4	https://exchange.xforce.ibmcloud.com/vulnerabilities/42043	XF