製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Apache Brooklyn におけるクロスサイトスクリプティングの脆弱性

タイトル	Apache Brooklyn におけるクロスサイトスクリプティングの脆弱性
概要	Apache Brooklynは、アプリケーションのモデリングやモニタリング、管理のためのソフトウェアです。Apache Brooklyn には、クロスサイトスクリプティングの脆弱性が存在します。また、この脆弱性を使用した攻撃コードが確認されています。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション株式会社米山俊嗣氏
想定される影響	ユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、Apache Brooklyn 0.10.0 およびそれ以降にアップデートしてください。
公表日	2017年2月15日0:00
登録日	2017年2月15日14:04
最終更新日	2017年2月15日14:04

CVSS3.0 : 警告
スコア	5.4
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVSS2.0 : 注意
スコア	3.5
ベクター	AV:N/AC:M/Au:S/C:N/I:P/A:N

影響を受けるシステム

Apache Software Foundation

Apache Brooklyn 0.9.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Apache Brooklyn
1	CVE-2017-3165: Cross-site vulnerabilities in Apache Brooklyn	https://brooklyn.apache.org/community/security/CVE-2017-3165.html
Common Vulnerabilities and Exposures (CVE)
2	CVE-2017-3165	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3165

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Apache Brooklyn
1	Release Notes Version 0.10.0	https://brooklyn.apache.org/v/0.10.0/misc/release-notes.html
GitHub
2	pull request #35: JS clean-up	https://github.com/apache/brooklyn-ui/pull/35

その他

No	名前	URL
JVN
1	JVN#55489964	https://jvn.jp/jp/JVN55489964/index.html

変更履歴

No	変更内容	変更日
0	[2017年02月15日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2017-3165

概要	In Apache Brooklyn before 0.10.0, the REST server is vulnerable to cross-site scripting where one authenticated user can cause scripts to run in the browser of another user authorized to access the first user's resources. This is due to improper escaping of server-side content. There is known to be a proof-of-concept exploit using this vulnerability.
公表日	2017年9月14日1:29
登録日	2021年1月26日13:23
最終更新日	2024年11月21日12:24

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:brooklyn::::::::			0.9.0

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.securityfocus.com/bid/96228		Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/96228		Third Party Advisory VDB Entry
3	https://brooklyn.apache.org/community/security/CVE-2017-3165.html		Exploit Vendor Advisory
4	https://brooklyn.apache.org/community/security/CVE-2017-3165.html		Exploit Vendor Advisory
5	https://lists.apache.org/thread.html/5aa6b7583edbfc1f5653607003204326d9e27ef65e8af356c798b21c%40%3Cdev.brooklyn.apache.org%3E
6	https://lists.apache.org/thread.html/5aa6b7583edbfc1f5653607003204326d9e27ef65e8af356c798b21c%40%3Cdev.brooklyn.apache.org%3E

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html