| 概要 | Multiple cross-site scripting (XSS) vulnerabilities in the admin panel in osCMax before 2.5.1 allow remote attackers to inject arbitrary web script or HTML via the (1) username parameter in a process action to admin/login.php; (2) pageTitle, (3) current_product_id, or (4) cPath parameter to admin/new_attributes_include.php; (5) sb_id, (6) sb_key, (7) gc_id, (8) gc_key, or (9) path parameter to admin/htaccess.php; (10) title parameter to admin/information_form.php; (11) search parameter to admin/xsell.php; (12) gross or (13) max parameter to admin/stats_products_purchased.php; (14) status parameter to admin/stats_monthly_sales.php; (15) sorted parameter to admin/stats_customers.php; (16) information_id parameter to /admin/information_manager.php; or (17) zID parameter to /admin/geo_zones.php. |
|---|---|
| 公表日 | 2015年5月21日3:59 |
| 登録日 | 2021年1月28日14:56 |
| 最終更新日 | 2024年11月21日10:37 |
| CVSS2.0 : MEDIUM | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | はい |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:oscmax:oscmax:*:*:*:*:*:*:*:* | 2.5.0 | ||||
| タイトル | osCMax の管理パネルにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | osCMax の管理パネルには、クロスサイトスクリプティングの脆弱性が存在します。 |
| 想定される影響 | 第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) admin/login.php の process アクション の username パラメータ (2) admin/new_attributes_include.php の pageTitle パラメータ (3) admin/new_attributes_include.php の current_product_id パラメータ (4) admin/new_attributes_include.php の cPath パラメータ (5) admin/htaccess.php の sb_id パラメータ (6) admin/htaccess.php の sb_key パラメータ (7) admin/htaccess.php の gc_id パラメータ (8) admin/htaccess.php の gc_key パラメータ (9) admin/htaccess.php の path パラメータ (10) admin/information_form.php の title パラメータ (11) admin/xsell.php の search パラメータ (12) admin/stats_products_purchased.php の gross パラメータ (13) admin/stats_products_purchased.php の max パラメータ (14) admin/stats_monthly_sales.php の status パラメータ (15) admin/stats_customers.php の sorted パラメータ (16) /admin/information_manager.php の information_id パラメータ (17) /admin/geo_zones.php の zID パラメータ |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2012年4月1日0:00 |
| 登録日 | 2015年5月22日13:43 |
| 最終更新日 | 2015年5月22日13:43 |
| osCMax.com |
| osCMax 2.5.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年05月22日] 掲載 |
2018年2月17日10:37 |