NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2015-5076

概要	Multiple cross-site scripting (XSS) vulnerabilities in X2Engine X2CRM before 5.0.9 allow remote attackers to inject arbitrary web script or HTML via the (1) version parameter in protected/views/admin/formEditor.php; the (2) importId parameter in protected/views/admin/rollbackImport.php; the (3) bc, (4) fg, (5) bgc, or (6) font parameter in protected/views/site/listener.php; the (7) Services[*] parameter in protected/components/views/webForm.php; the (8) file parameter in protected/components/TranslationManager.php; the (9) x2_key parameter in protected/tests/webscripts/x2WebTrackingTestPages/customWebLeadCaptureScriptTest.php; the (10) id parameter in protected/modules/contacts/controllers/ContactsController.php; or the (11) lastEventId parameter to index.php/profile/getEvents.
公表日	2015年9月30日4:59
登録日	2021年1月26日14:52
最終更新日	2024年11月21日11:32

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	はい

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:x2engine:x2crm::::::::			5.0.8

関連情報、対策とツール

No	URL	refsource	タグ
1	http://packetstormsecurity.com/files/133716/X2Engine-4.2-Cross-Site-Scripting.html
2	http://packetstormsecurity.com/files/133716/X2Engine-4.2-Cross-Site-Scripting.html
3	http://seclists.org/fulldisclosure/2015/Sep/91		Exploit
4	http://seclists.org/fulldisclosure/2015/Sep/91		Exploit
5	http://www.securityfocus.com/archive/1/536545/100/0/threaded
6	http://www.securityfocus.com/archive/1/536545/100/0/threaded
7	https://github.com/X2Engine/X2CRM/commit/10b72bfe7a1b9694f19a0adef72d85a754d4d3f8
8	https://github.com/X2Engine/X2CRM/commit/10b72bfe7a1b9694f19a0adef72d85a754d4d3f8
9	https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2015-5076/		Exploit
10	https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2015-5076/		Exploit

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN脆弱性情報

X2Engine X2CRM におけるクロスサイトスクリプティングの脆弱性

タイトル	X2Engine X2CRM におけるクロスサイトスクリプティングの脆弱性
概要	X2Engine X2CRM には、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) protected/views/admin/formEditor.php の version パラメータ (2) protected/views/admin/rollbackImport.php の importId パラメータ (3) protected/views/site/listener.php の bc パラメータ (4) protected/views/site/listener.php の fg パラメータ (5) protected/views/site/listener.php の bgc パラメータ (6) protected/views/site/listener.php の font パラメータ (7) protected/components/views/webForm.php の Services[*] パラメータ (8) protected/components/TranslationManager.php の file パラメータ (9) protected/tests/webscripts/x2WebTrackingTestPages/customWebLeadCaptureScriptTest.php の x2_key パラメータ (10) protected/modules/contacts/controllers/ContactsController.php の id パラメータ (11) index.php/profile/getEvents の lastEventId パラメータ
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年7月13日0:00
登録日	2015年10月1日17:43
最終更新日	2015年10月1日17:43

影響を受けるシステム

X2Engine

X2CRM 5.0.9 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5076	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5076
National Vulnerability Database (NVD)
2	CVE-2015-5076	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5076

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
GitHub
1	Release v5.0.9; see CHANGELOG for details.	https://github.com/X2Engine/X2CRM/commit/10b72bfe7a1b9694f19a0adef72d85a754d4d3f8

変更履歴

No	変更内容	変更日
0	[2015年10月01日] 掲載	2018年2月17日10:37