製品・ソフトウェアに関する情報
脆弱性検索
ownCloud におけるクロスサイトスクリプティングの脆弱性
タイトル ownCloud におけるクロスサイトスクリプティングの脆弱性
概要

ownCloud には、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響 第三者により、下記の項目を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。  (1) apps/user_ldap/settings.php の file names (2) apps/bookmarks/ajax/editBookmark.php の url パラメータ (3) apps/bookmarks/ajax/editBookmark.php の title パラメータ (4) apps/bookmarks/ajax/updateList.php の tag パラメータ (5) apps/bookmarks/ajax/updateList.php の page パラメータ (6) apps/user_openid/settings.php の identity (7) apps/gallery/lib/tiles.php の stack name (8) apps/gallery/templates/index.php の root パラメータ (9) apps/calendar/templates/part.import.php の calendar displayname (10) apps/calendar/templates/part.choosecalendar.rowfields.php の calendar uri (11) apps/calendar/lib/object.php の title パラメータ (12) apps/calendar/lib/object.php の location パラメータ (13) apps/calendar/lib/object.php の description パラメータ (14) core/js/multiselect.js の特定の値 (15) apps/media/lib_scanner.php の artist パラメータ (16) apps/media/lib_scanner.php の album パラメータ (17) apps/media/lib_scanner.php の title comments パラメータ
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2012年6月11日0:00
登録日 2012年9月7日16:29
最終更新日 2012年12月19日14:13
CVSS2.0 : 警告
スコア 4.3
ベクター AV:N/AC:M/Au:N/C:N/I:P/A:N
影響を受けるシステム
ownCloud
ownCloud 4.0.2 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2012年09月07日]
  掲載
[2012年12月19日]
  ベンダ情報:ownCloud (Multiple reflected XSS (CVE-2012-4396)) を追加 		 2018年2月17日10:37
NVD脆弱性情報
CVE-2012-4396
概要

Multiple cross-site scripting (XSS) vulnerabilities in ownCloud before 4.0.2 allow remote attackers to inject arbitrary web script or HTML via the (1) file names to apps/user_ldap/settings.php; (2) url or (3) title parameter to apps/bookmarks/ajax/editBookmark.php; (4) tag or (5) page parameter to apps/bookmarks/ajax/updateList.php; (6) identity to apps/user_openid/settings.php; (7) stack name in apps/gallery/lib/tiles.php; (8) root parameter to apps/gallery/templates/index.php; (9) calendar displayname in apps/calendar/templates/part.import.php; (10) calendar uri in apps/calendar/templates/part.choosecalendar.rowfields.php; (11) title, (12) location, or (13) description parameter in apps/calendar/lib/object.php; (14) certain vectors in core/js/multiselect.js; or (15) artist, (16) album, or (17) title comments parameter in apps/media/lib_scanner.php.

公表日 2012年9月6日8:55
登録日 2021年1月28日15:03
最終更新日 2024年11月21日10:42
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:owncloud:owncloud:4.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:owncloud:owncloud:*:*:*:*:*:*:*:* 4.0.1
cpe:2.3:a:owncloud:owncloud:3.0.1:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧