製品・ソフトウェアに関する情報

JVN脆弱性詳細

futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性

タイトル	futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性
概要	futomi's CGI Cafe が提供する高機能アクセス解析CGI には、ウェブページへの解析タグの埋め込み方法に起因するクロスサイトスクリプティングの脆弱性が存在します。 futomi's CGI Cafe が提供する高機能アクセス解析CGI は、ウェブページのアクセスログ解析を行うためのソフトウェアです。高機能アクセス解析CGI には、ウェブページへの解析タグの埋め込み方法に起因するクロスサイトスクリプティングの脆弱性が存在します。なお、開発者によると Professional 版を利用しているユーザで、マニュアルに記載されている "headタグ内に解析タグ用jsファイルをロードする方法" を使用している場合、本脆弱性の影響を受けないとのことです。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: NRIセキュアテクノロジーズ小林克巳氏
想定される影響	ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策	[解析タグの埋め込み方法を変更する] マニュアルに従って、解析タグの埋め込み方法を "headタグ内に解析タグ用jsファイルをロードする方法" に変更してください。なお、高機能アクセス解析CGI Standard 版を利用している場合、変更前に最新版にアップデートする必要があります。
公表日	2010年9月10日0:00
登録日	2010年9月10日12:01
最終更新日	2010年9月10日12:01

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

futomi

高機能アクセス解析CGI Professional版

高機能アクセス解析CGI Standard版 4.0.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-2366	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2366
National Vulnerability Database (NVD)
2	CVE-2010-2366	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2366

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
futomi's CGI Cafe
1	高機能アクセス解析CGIをご利用の方へバージョンアップおよび解析タグ変更のお願い	http://www.futomi.com/library/info/2010/20100910.html

その他

No	名前	URL
JVN
1	JVN#35605523	http://jvn.jp/jp/JVN35605523/index.html
SecurityFocus
2	43142	http://www.securityfocus.com/bid/43142

変更履歴

No	変更内容	変更日
0	[2010年09月10日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-2366

概要	Cross-site scripting (XSS) vulnerability in futomi CGI Cafe Access Analyzer CGI Professional, and Standard 4.0.2 and earlier, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.
公表日	2010年9月14日6:00
登録日	2021年1月29日11:02
最終更新日	2024年11月21日10:16

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::pro:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::std:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::std:::::

構成1	以上	以下	より上	未満
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.5::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.0::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::pro:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.6::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:4.0.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.3::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:::std:::::*		4.0.2
cpe:2.3:a:futomi:access_analyzer_cgi:2.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.7::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.4::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.7::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:1.2::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.1::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.0::pro:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.2::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.6::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:2.1::std:::::
cpe:2.3:a:futomi:access_analyzer_cgi:3.8.1::std:::::

No	URL	タグ
1	http://jvn.jp/en/jp/JVN35605523/index.html
2	http://jvn.jp/en/jp/JVN35605523/index.html
3	http://jvndb.jvn.jp/en/contents/2010/JVNDB-2010-000035.html
4	http://jvndb.jvn.jp/en/contents/2010/JVNDB-2010-000035.html
5	http://www.futomi.com/library/info/2010/20100910.html	Vendor Advisory
6	http://www.futomi.com/library/info/2010/20100910.html	Vendor Advisory
7	http://www.securityfocus.com/bid/43142
8	http://www.securityfocus.com/bid/43142