NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2011-4670

概要	Multiple cross-site scripting (XSS) vulnerabilities in vTiger CRM 5.2.1 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) viewname parameter in a CalendarAjax action, (2) activity_mode parameter in a DetailView action, (3) contact_id and (4) parent_id parameters in an EditView action, (5) day, (6) month, (7) subtab, (8) view, and (9) viewOption parameters in the index action, and (10) start parameter in the ListView action to the Calendar module; (11) return_action and (12) return_module parameters in the EditView action, and (13) query parameter in an index action to the Campaigns module; (14) return_url and (15) workflow_id parameters in an editworkflow action to the com_vtiger_workflow module; (16) display_view parameter in an index action to the Dashboard module; (17) closingdate_end, (18) closingdate_start, (19) date_closed, (20) owner, (21) leadsource, (22) sales_stage, and (23) type parameters in a ListView action to the Potentials module; (24) folderid parameter in a SaveandRun action to the Reports module; (25) returnaction and (26) groupId parameters in a createnewgroup action, (27) mode and (28) parent parameters in a createrole action, (29) src_module in a ModuleManager action, (30) mode and (31) profile_id parameters in a profilePrivileges action, and (32) roleid parameter in a RoleDetailView to the Settings module; and (33) action parameter to the Home module and (34) module parameter to phprint.php.
公表日	2011年12月3日1:55
登録日	2021年1月28日16:39
最終更新日	2024年11月21日10:32

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:vtiger:vtiger_crm::::::::			5.2.1

関連情報、対策とツール

No	URL	refsource	タグ
1	http://osvdb.org/76005		Broken Link
2	http://osvdb.org/76006		Broken Link
3	http://seclists.org/fulldisclosure/2011/Oct/154		Exploit Mailing List Third Party Advisory
4	http://www.securityfocus.com/archive/1/519993/100/0/threaded
5	http://www.securityfocus.com/bid/49927		Exploit Third Party Advisory VDB Entry
6	http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_XSS		Exploit
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/70306		Third Party Advisory VDB Entry
8	https://www.exploit-db.com/exploits/36203/		Third Party Advisory VDB Entry
9	https://www.exploit-db.com/exploits/36204/		Third Party Advisory VDB Entry
10	http://osvdb.org/76005		Broken Link
11	https://www.exploit-db.com/exploits/36204/		Third Party Advisory VDB Entry
12	https://www.exploit-db.com/exploits/36203/		Third Party Advisory VDB Entry
13	https://exchange.xforce.ibmcloud.com/vulnerabilities/70306		Third Party Advisory VDB Entry
14	http://yehg.net/lab/pr0js/advisories/%5BvTiger_5.2.1%5D_XSS		Exploit
15	http://www.securityfocus.com/bid/49927		Exploit Third Party Advisory VDB Entry
16	http://www.securityfocus.com/archive/1/519993/100/0/threaded
17	http://seclists.org/fulldisclosure/2011/Oct/154		Exploit Mailing List Third Party Advisory
18	http://osvdb.org/76006		Broken Link

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN脆弱性情報

vTiger CRM におけるクロスサイトスクリプティングの脆弱性

タイトル	vTiger CRM におけるクロスサイトスクリプティングの脆弱性
概要	vTiger CRM には、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 Calendar モジュールに対する (1) CalendarAjax アクションの viewname パラメータ (2) DetailView アクションの activity_mode パラメータ (3) EditView アクションの contact_id パラメータ (4) EditView アクションの parent_id パラメータ (5) index アクションの day パラメータ (6) index アクションの month パラメータ (7) index アクションの subtab パラメータ (8) index アクションの view パラメータ (9) index アクションの viewOption パラメータ (10) ListView アクションの start パラメータ Campaigns モジュールに対する (11) EditView アクションの return_action パラメータ (12) EditView アクションの return_module パラメータ (13) index アクションの query パラメータ com_vtiger_workflow モジュールに対する (14) editworkflow アクションの return_url パラメータ (15) editworkflow アクションの workflow_id パラメータ Dashboard モジュールに対する (16) index アクションの display_view パラメータ Potentials モジュールに対する (17) ListView アクションの closingdate_end パラメータ (18) ListView アクションの closingdate_start パラメータ (19) ListView アクションの date_closed パラメータ (20) ListView アクションの owner パラメータ (21) ListView アクションの leadsource パラメータ (22) ListView アクションの sales_stage パラメータ (23) ListView アクションの type パラメータ Reports モジュールに対する (24) SaveandRun アクションの folderid パラメータ Settings module モジュールに対する (25) createnewgroup アクションの returnaction パラメータ (26) createnewgroup アクションの groupId パラメータ (27) createrole アクションの mode パラメータ (28) createrole アクションの parent パラメータ (29) ModuleManager アクションの src_module パラメータ (30) profilePrivileges アクションの mode パラメータ (31) profilePrivileges アクションの profile_id パラメータ (32) RoleDetailView アクションの roleid パラメータ Home モジュールに対する (33) action パラメータ phprint.php に対する (34) module パラメータ
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2011年12月2日0:00
登録日	2011年12月5日16:09
最終更新日	2011年12月8日12:30

影響を受けるシステム

Vtiger

Vtiger CRM 5.2.1 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4670	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4670
National Vulnerability Database (NVD)
2	CVE-2011-4670	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4670

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Vtiger CRM
1	Top Page	http://www.vtiger.com/
2	vtigerCRM.jp	http://www.vtigercrm.jp/home

変更履歴

No	変更内容	変更日
0	[2011年12月05日] 掲載 [2011年12月08日] 想定される影響：モジュール名を Poten! tials から Potentials へ修正	2018年2月17日10:37