NVD脆弱性詳細

CVE-2012-2582

概要	Multiple cross-site scripting (XSS) vulnerabilities in Open Ticket Request System (OTRS) Help Desk 2.4.x before 2.4.13, 3.0.x before 3.0.15, and 3.1.x before 3.1.9, and OTRS ITSM 2.1.x before 2.1.5, 3.0.x before 3.0.6, and 3.1.x before 3.1.6, allow remote attackers to inject arbitrary web script or HTML via an e-mail message body with (1) a Cascading Style Sheets (CSS) expression property in the STYLE attribute of an arbitrary element or (2) UTF-7 text in an HTTP-EQUIV="CONTENT-TYPE" META element.
公表日	2012年8月23日19:32
登録日	2021年1月28日14:58
最終更新日	2024年11月21日10:39

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs:2.4.0:beta6::::::
cpe:2.3:a:otrs:otrs:2.4.0:beta5::::::
cpe:2.3:a:otrs:otrs:2.4.1:::::::*
cpe:2.3:a:otrs:otrs:2.4.10:::::::*
cpe:2.3:a:otrs:otrs:2.4.5:::::::*
cpe:2.3:a:otrs:otrs:2.4.12:::::::*
cpe:2.3:a:otrs:otrs:2.4.6:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta3::::::
cpe:2.3:a:otrs:otrs:2.4.9:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta2::::::
cpe:2.3:a:otrs:otrs:2.4.3:::::::*
cpe:2.3:a:otrs:otrs:2.4.11:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta4::::::
cpe:2.3:a:otrs:otrs:2.4.4:::::::*
cpe:2.3:a:otrs:otrs:2.4.2:::::::*
cpe:2.3:a:otrs:otrs:2.4.8:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta1::::::
cpe:2.3:a:otrs:otrs:2.4.7:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs:3.0.12:::::::*
cpe:2.3:a:otrs:otrs:3.0.10:::::::*
cpe:2.3:a:otrs:otrs:3.0.2:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta1::::::
cpe:2.3:a:otrs:otrs:3.0.1:::::::*
cpe:2.3:a:otrs:otrs:3.0.11:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta3::::::
cpe:2.3:a:otrs:otrs:3.0.0:beta6::::::
cpe:2.3:a:otrs:otrs:3.0.4:::::::*
cpe:2.3:a:otrs:otrs:3.0.5:::::::*
cpe:2.3:a:otrs:otrs:3.0.7:::::::*
cpe:2.3:a:otrs:otrs:3.0.6:::::::*
cpe:2.3:a:otrs:otrs:3.0.13:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta2::::::
cpe:2.3:a:otrs:otrs:3.0.0:beta4::::::
cpe:2.3:a:otrs:otrs:3.0.8:::::::*
cpe:2.3:a:otrs:otrs:3.0.14:::::::*
cpe:2.3:a:otrs:otrs:3.0.3:::::::*
cpe:2.3:a:otrs:otrs:3.0.9:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta5::::::
cpe:2.3:a:otrs:otrs:3.0.0:beta7::::::

構成3	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs:3.1.1:::::::*
cpe:2.3:a:otrs:otrs:3.1.6:::::::*
cpe:2.3:a:otrs:otrs:3.1.4:::::::*
cpe:2.3:a:otrs:otrs:3.1.7:::::::*
cpe:2.3:a:otrs:otrs:3.1.2:::::::*
cpe:2.3:a:otrs:otrs:3.1.3:::::::*
cpe:2.3:a:otrs:otrs:3.1.0:::::::*
cpe:2.3:a:otrs:otrs:3.1.8:::::::*
cpe:2.3:a:otrs:otrs:3.1.5:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs_itsm:2.1.1:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.3:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.4:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.2:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.5:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.0:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.5:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.4:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.3:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.1:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.3:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.4:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.2:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.2:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.0:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.1:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2012-09/msg00024.html
2	http://lists.opensuse.org/opensuse-updates/2012-09/msg00024.html
3	http://secunia.com/advisories/50513
4	http://secunia.com/advisories/50513
5	http://www.debian.org/security/2012/dsa-2536
6	http://www.debian.org/security/2012/dsa-2536
7	http://www.kb.cert.org/vuls/id/582879	Exploit US Government Resource
8	http://www.kb.cert.org/vuls/id/582879	Exploit US Government Resource
9	http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-01/	Vendor Advisory
10	http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-01/	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN脆弱性情報

Open Technology Real Services にクロスサイトスクリプティングの脆弱性

タイトル	Open Technology Real Services にクロスサイトスクリプティングの脆弱性
概要	Open Technology Real Services には、クロスサイトスクリプティングの脆弱性が存在します。 Open Technology Real Services には、メール本文の処理に問題があり、クロスサイトスクリプティングの脆弱性が存在します。なお、本脆弱性を使用して Internet Explorer 上でスクリプトを実行する攻撃コードが公開されています。
想定される影響	細工されたメールを読む込むことで、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとにアップデートしてください。
公表日	2012年8月23日0:00
登録日	2012年8月24日15:47
最終更新日	2012年11月16日10:19

影響を受けるシステム

OTRS プロジェクト

OTRS Help Desk 2.4.13 より前のバージョン

OTRS Help Desk 3.0.15 より前のバージョン

OTRS Help Desk 3.1.9 より前のバージョン

OTRS ITSM 2.1.5 より前のバージョン

OTRS ITSM 3.0.6 より前のバージョン

OTRS ITSM 3.1.6 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-2582	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2582
National Vulnerability Database (NVD)
2	CVE-2012-2582	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2582

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Debian Security Advisory
1	DSA-2536	http://www.debian.org/security/2012/dsa-2536
opensuse-updates
2	openSUSE-SU-2012:1105	http://lists.opensuse.org/opensuse-updates/2012-09/msg00024.html
OTRS
3	Security Advisory 2012-01	http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-01/

その他

No	名前	URL
JVN
1	JVNVU#582879	http://jvn.jp/cert/JVNVU582879
US-CERT Vulnerability Note
2	VU#582879	https://www.kb.cert.org/vuls/id/582879

変更履歴

No	変更内容	変更日
0	[2012年08月24日] 掲載 [2012年11月16日] ベンダ情報：Debian (DSA-2536) を追加ベンダ情報：openSUSE (openSUSE-SU-2012:1105) を追加	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs:2.4.0:beta6::::::
cpe:2.3:a:otrs:otrs:2.4.0:beta5::::::
cpe:2.3:a:otrs:otrs:2.4.1:::::::*
cpe:2.3:a:otrs:otrs:2.4.10:::::::*
cpe:2.3:a:otrs:otrs:2.4.5:::::::*
cpe:2.3:a:otrs:otrs:2.4.12:::::::*
cpe:2.3:a:otrs:otrs:2.4.6:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta3::::::
cpe:2.3:a:otrs:otrs:2.4.9:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta2::::::
cpe:2.3:a:otrs:otrs:2.4.3:::::::*
cpe:2.3:a:otrs:otrs:2.4.11:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta4::::::
cpe:2.3:a:otrs:otrs:2.4.4:::::::*
cpe:2.3:a:otrs:otrs:2.4.2:::::::*
cpe:2.3:a:otrs:otrs:2.4.8:::::::*
cpe:2.3:a:otrs:otrs:2.4.0:beta1::::::
cpe:2.3:a:otrs:otrs:2.4.7:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs:3.0.12:::::::*
cpe:2.3:a:otrs:otrs:3.0.10:::::::*
cpe:2.3:a:otrs:otrs:3.0.2:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta1::::::
cpe:2.3:a:otrs:otrs:3.0.1:::::::*
cpe:2.3:a:otrs:otrs:3.0.11:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta3::::::
cpe:2.3:a:otrs:otrs:3.0.0:beta6::::::
cpe:2.3:a:otrs:otrs:3.0.4:::::::*
cpe:2.3:a:otrs:otrs:3.0.5:::::::*
cpe:2.3:a:otrs:otrs:3.0.7:::::::*
cpe:2.3:a:otrs:otrs:3.0.6:::::::*
cpe:2.3:a:otrs:otrs:3.0.13:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta2::::::
cpe:2.3:a:otrs:otrs:3.0.0:beta4::::::
cpe:2.3:a:otrs:otrs:3.0.8:::::::*
cpe:2.3:a:otrs:otrs:3.0.14:::::::*
cpe:2.3:a:otrs:otrs:3.0.3:::::::*
cpe:2.3:a:otrs:otrs:3.0.9:::::::*
cpe:2.3:a:otrs:otrs:3.0.0:beta5::::::
cpe:2.3:a:otrs:otrs:3.0.0:beta7::::::

構成3	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs:3.1.1:::::::*
cpe:2.3:a:otrs:otrs:3.1.6:::::::*
cpe:2.3:a:otrs:otrs:3.1.4:::::::*
cpe:2.3:a:otrs:otrs:3.1.7:::::::*
cpe:2.3:a:otrs:otrs:3.1.2:::::::*
cpe:2.3:a:otrs:otrs:3.1.3:::::::*
cpe:2.3:a:otrs:otrs:3.1.0:::::::*
cpe:2.3:a:otrs:otrs:3.1.8:::::::*
cpe:2.3:a:otrs:otrs:3.1.5:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:a:otrs:otrs_itsm:2.1.1:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.3:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.4:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.2:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.5:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.0:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.5:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.4:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.3:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.1:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.3:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.4:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.2:::::::*
cpe:2.3:a:otrs:otrs_itsm:2.1.2:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.1.0:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.1:::::::*
cpe:2.3:a:otrs:otrs_itsm:3.0.0:::::::*