製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Drupal の Form API における送信先 URL を検証しない脆弱性

タイトル	Drupal の Form API における送信先 URL を検証しない脆弱性
概要	Drupal の Form API には、送信先の URL を検証しない脆弱性が存在します。 Drupal は、コンテンツ管理システム (CMS) です。Drupal の Form API には、送信先の URL を検証しない脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: NECネクサソリューションズ株式会社中西克彦氏
想定される影響	遠隔の第三者によって、フォームの送信先を変更される可能性があります。結果として、認証情報などを窃取される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日	2012年5月17日0:00
登録日	2012年5月17日12:01
最終更新日	2012年5月17日12:01

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

Drupal

Drupal core 7.x 系の 7.13 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-1589	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1589
National Vulnerability Database (NVD)
2	CVE-2012-1589	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1589

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Security advisories
1	SA-CORE-2012-002 - Drupal core multiple vulnerabilities	http://drupal.org/node/1557938

その他

No	名前	URL
JVN
1	JVN#45898075	http://jvn.jp/jp/JVN45898075/index.html

変更履歴

No	変更内容	変更日
0	[2012年05月17日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-1589

概要	Open redirect vulnerability in the Form API in Drupal 7.x before 7.13 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via crafted parameters in a destination URL.
公表日	2012年5月19日5:55
登録日	2021年1月28日14:55
最終更新日	2024年11月21日10:37

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:drupal:drupal:7.0:alpha5::::::
cpe:2.3:a:drupal:drupal:7.0:dev::::::
cpe:2.3:a:drupal:drupal:7.0:alpha7::::::
cpe:2.3:a:drupal:drupal:7.0:rc2::::::
cpe:2.3:a:drupal:drupal:7.0:rc4::::::
cpe:2.3:a:drupal:drupal:7.0:beta2::::::
cpe:2.3:a:drupal:drupal:7.0:rc3::::::
cpe:2.3:a:drupal:drupal:7.0:alpha1::::::
cpe:2.3:a:drupal:drupal:7.3:::::::*
cpe:2.3:a:drupal:drupal:7.8:::::::*
cpe:2.3:a:drupal:drupal:7.0:alpha4::::::
cpe:2.3:a:drupal:drupal:7.5:::::::*
cpe:2.3:a:drupal:drupal:7.10:::::::*
cpe:2.3:a:drupal:drupal:7.6:::::::*
cpe:2.3:a:drupal:drupal:7.12:::::::*
cpe:2.3:a:drupal:drupal:7.9:::::::*
cpe:2.3:a:drupal:drupal:7.0:rc1::::::
cpe:2.3:a:drupal:drupal:7.0:beta3::::::
cpe:2.3:a:drupal:drupal:7.4:::::::*
cpe:2.3:a:drupal:drupal:7.x-dev:::::::*
cpe:2.3:a:drupal:drupal:7.0:alpha2::::::
cpe:2.3:a:drupal:drupal:7.11:::::::*
cpe:2.3:a:drupal:drupal:7.0:alpha6::::::
cpe:2.3:a:drupal:drupal:7.0:::::::*
cpe:2.3:a:drupal:drupal:7.0:beta1::::::
cpe:2.3:a:drupal:drupal:7.1:::::::*
cpe:2.3:a:drupal:drupal:7.7:::::::*
cpe:2.3:a:drupal:drupal:7.0:alpha3::::::
cpe:2.3:a:drupal:drupal:7.2:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://drupal.org/node/1557938		Vendor Advisory
2	http://drupal.org/node/1557938		Vendor Advisory
3	http://jvn.jp/en/jp/JVN45898075/index.html
4	http://jvn.jp/en/jp/JVN45898075/index.html
5	http://jvndb.jvn.jp/jvndb/JVNDB-2012-000045
6	http://jvndb.jvn.jp/jvndb/JVNDB-2012-000045
7	http://osvdb.org/81679
8	http://osvdb.org/81679
9	http://secunia.com/advisories/49012
10	http://secunia.com/advisories/49012
11	http://www.mandriva.com/security/advisories?name=MDVSA-2013:074
12	http://www.mandriva.com/security/advisories?name=MDVSA-2013:074
13	http://www.securityfocus.com/bid/53365
14	http://www.securityfocus.com/bid/53365

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html