NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2012-3805

概要	Multiple cross-site scripting (XSS) vulnerabilities in the getAllPassedParams function in system/functions.php in Kajona before 3.4.2 allow remote attackers to inject arbitrary web script or HTML via the (1) absender_name, (2) absender_email, or (3) absender_nachricht parameter to the content page; (4) comment_name, (5) comment_subject, or (6) comment_message parameter to the postacomment module; (7) module parameter to index.php; (8) action parameter to the admin login page; (9) pv or (10) pe parameter in a list action to the user module; (11) user_username, (12) user_email, (13) user_forename, (14) user_name, (15) user_street, (16) user_postal, (17) user_city, (18) user_tel, or (19) user_mobil parameter in a newUser action to the user module; (20) group_name or (21) group_desc parameter in a groupNew action to the user module; (22) name, (23) browsername, (24) seostring, (25) keywords, or (26) folder_id parameter in a newPage action to the pages module; (27) element_name or (28) element_cachetime parameter in a newElement action in the pages module; (29) aspect_name parameter in a newAspect action in the system module; (30) filemanager_name, (31) filemanager_path, (32) filemanager_upload_filter, or (33) filemanager_view_filter parameter in a NewRepo action to the filemanager module; or (34) archive_title or (35) archive_path parameter in a newArchive action to the downloads module. NOTE: some of these details are obtained from third party information.
公表日	2012年7月13日4:55
登録日	2021年1月28日15:01
最終更新日	2024年11月21日10:41

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:kajona:kajona:3.3.1:::::::*
cpe:2.3:a:kajona:kajona:3.4.0:::::::*
cpe:2.3:a:kajona:kajona:3.1.1:::::::*
cpe:2.3:a:kajona:kajona:3.1.0:::::::*
cpe:2.3:a:kajona:kajona:3.3.0:::::::*
cpe:2.3:a:kajona:kajona:3.2.1:::::::*
cpe:2.3:a:kajona:kajona:3.2.0:::::::*
cpe:2.3:a:kajona:kajona::::::::			3.4.1

関連情報、対策とツール

No	URL	refsource	タグ
1	http://archives.neohapsis.com/archives/bugtraq/2012-07/0058.html		Exploit
2	http://archives.neohapsis.com/archives/bugtraq/2012-07/0058.html		Exploit
3	http://secunia.com/advisories/49849		Vendor Advisory
4	http://secunia.com/advisories/49849		Vendor Advisory
5	http://www.kajona.de/changelog_34x.de.html
6	http://www.kajona.de/changelog_34x.de.html
7	http://www.kajona.de/newsdetails.Kajona-V3-4-2-available.newsDetail.616decb4fe9b7a5929fb.en.html		Vendor Advisory
8	http://www.kajona.de/newsdetails.Kajona-V3-4-2-available.newsDetail.616decb4fe9b7a5929fb.en.html		Vendor Advisory
9	https://www.htbridge.com/advisory/HTB23097
10	https://www.htbridge.com/advisory/HTB23097

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN脆弱性情報

Kajona の system/functions.php におけるクロスサイトスクリプティングの脆弱性

タイトル	Kajona の system/functions.php におけるクロスサイトスクリプティングの脆弱性
概要	Kajona の system/functions.php の getAllPassedParams 関数には、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) コンテンツページへの absender_name パラメータ (2) コンテンツページへの absender_email パラメータ (3) コンテンツページへの absender_nachricht パラメータ (4) postacomment モジュールへの comment_name パラメータ (5) postacomment モジュールへの comment_subject パラメータ (6) postacomment モジュールへの comment_message パラメータ (7) index.php への module パラメータ (8) 管理者ログインページへの action パラメータ (9) user モジュールへの list アクション内の pv パラメータ (10) user モジュールへの list アクション内の pe パラメータ (11) user モジュールへの newUser アクション内の user_username パラメータ (12) user モジュールへの newUser アクション内の user_email パラメータ (13) user モジュールへの newUser アクション内の user_forename パラメータ (14) user モジュールへの newUser アクション内の user_name パラメータ (15) user モジュールへの newUser アクション内の user_street パラメータ (16) user モジュールへの newUser アクション内の user_postal パラメータ (17) user モジュールへの newUser アクション内の user_city パラメータ (18) user モジュールへの newUser アクション内の user_tel パラメータ (19) user モジュールへの newUser アクション内の user_mobil パラメータ (20) user モジュールへの groupNew アクション内の group_name パラメータ (21) user モジュールへの groupNew アクション内の group_desc パラメータ (22) pages モジュールへの newPage アクション内の name パラメータ (23) pages モジュールへの newPage アクション内の browsername パラメータ (24) pages モジュールへの newPage アクション内の seostring パラメータ (25) pages モジュールへの newPage アクション内の keywords パラメータ (26) pages モジュールへの newPage アクション内の folder_id パラメータ (27) pages モジュールへの newElement アクション内の element_name パラメータ (28) pages モジュールへの newElement アクション内の element_cachetime パラメータ (29) system モジュールへの newAspect アクション内の aspect_name パラメータ (30) filemanager モジュールへの NewRepo アクション内の filemanager_name パラメータ (31) filemanager モジュールへの NewRepo アクション内の filemanager_path パラメータ (32) filemanager モジュールへの NewRepo アクション内の filemanager_upload_filter パラメータ (33) filemanager モジュールへの NewRepo アクション内の filemanager_view_filter パラメータ (34) downloads モジュールへの newArchive アクション内の archive_title パラメータ (35) downloads モジュールへの newArchive アクション内の archive_path パラメータ
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年7月12日0:00
登録日	2012年7月17日16:01
最終更新日	2012年7月17日16:01

影響を受けるシステム

Kajona

Kajona 3.4.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-3805	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3805
National Vulnerability Database (NVD)
2	CVE-2012-3805	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3805

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Kajona
1	Changelog 3.4.x	http://www.kajona.de/changelog_34x.de.html
2	Kajona V3.4.2 available	http://www.kajona.de/newsdetails.Kajona-V3-4-2-available.newsDetail.616decb4fe9b7a5929fb.en.html

変更履歴

No	変更内容	変更日
0	[2012年07月17日] 掲載	2018年2月17日10:37