製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Nextcloud サーバおよび ownCloud サーバにおけるクロスサイトスクリプティングの脆弱性

タイトル	Nextcloud サーバおよび ownCloud サーバにおけるクロスサイトスクリプティングの脆弱性
概要	Nextcloud サーバおよび ownCloud サーバには、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	情報を取得される、および情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年7月19日0:00
登録日	2017年4月26日18:48
最終更新日	2017年4月26日18:48

CVSS3.0 : 警告
スコア	6.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

ownCloud

ownCloud 9.0.4 未満

Nextcloud

Nextcloud 9.0.52 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-9459	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9459
National Vulnerability Database (NVD)
2	CVE-2016-9459	https://nvd.nist.gov/vuln/detail/CVE-2016-9459

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Security Advisory
1	NC-SA-2016-002	https://nextcloud.com/security/advisory/?id=nc-sa-2016-002
2	oC-SA-2016-012	https://owncloud.org/security/advisory?id=oc-sa-2016-012

変更履歴

No	変更内容	変更日
0	[2017年04月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-9459

概要	Nextcloud Server before 9.0.52 & ownCloud Server before 9.0.4 are vulnerable to a log pollution vulnerability potentially leading to a local XSS. The download log functionality in the admin screen is delivering the log in JSON format to the end-user. The file was delivered with an attachment disposition forcing the browser to download the document. However, Firefox running on Microsoft Windows would offer the user to open the data in the browser as an HTML document. Thus any injected data in the log would be executed.
公表日	2017年3月28日11:59
登録日	2021年1月26日14:20
最終更新日	2024年11月21日12:01

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:owncloud:owncloud::::::::					9.0.4
cpe:2.3:a:nextcloud:nextcloud_server::::::::					9.0.52

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.securityfocus.com/bid/97284		Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/97284		Third Party Advisory VDB Entry
3	https://github.com/nextcloud/server/commit/94975af6db1551c2d23136c2ea22866a5b416070		Issue Tracking Patch Third Party Advisory
4	https://github.com/nextcloud/server/commit/94975af6db1551c2d23136c2ea22866a5b416070		Issue Tracking Patch Third Party Advisory
5	https://github.com/owncloud/core/commit/044ee072a647636b1a17c89265c7233b35371335		Issue Tracking Patch Third Party Advisory
6	https://github.com/owncloud/core/commit/044ee072a647636b1a17c89265c7233b35371335		Issue Tracking Patch Third Party Advisory
7	https://github.com/owncloud/core/commit/b7fa2c5dc945b40bc6ed0a9a0e47c282ebf043e1		Issue Tracking Patch Third Party Advisory
8	https://github.com/owncloud/core/commit/b7fa2c5dc945b40bc6ed0a9a0e47c282ebf043e1		Issue Tracking Patch Third Party Advisory
9	https://github.com/owncloud/core/commit/efa35d621dc7ff975468e636a5d1c153511296dc		Issue Tracking Patch Third Party Advisory
10	https://github.com/owncloud/core/commit/efa35d621dc7ff975468e636a5d1c153511296dc		Issue Tracking Patch Third Party Advisory
11	https://hackerone.com/reports/146278		Exploit Third Party Advisory
12	https://hackerone.com/reports/146278		Exploit Third Party Advisory
13	https://nextcloud.com/security/advisory/?id=nc-sa-2016-002		Patch Vendor Advisory
14	https://nextcloud.com/security/advisory/?id=nc-sa-2016-002		Patch Vendor Advisory
15	https://owncloud.org/security/advisory?id=oc-sa-2016-012		Patch Vendor Advisory
16	https://owncloud.org/security/advisory?id=oc-sa-2016-012		Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html