JVN#23891849
ADPLAN におけるクロスサイトスクリプティングの脆弱性
株式会社オプトのウェブアクセス測定システムである ADPLAN Version 3 の SEO モジュールには、クロスサイトスクリプティングの脆弱性が存在します。
- ADPLAN Version 3 の SEO モジュール
株式会社オプトのウェブアクセス測定システムである ADPLAN Version 3 の SEO モジュールには、クロスサイトスクリプティングの脆弱性が存在します。
ADPLAN Version 3 サービスを導入したサイトにおいては、ブラウザから送られた HTTP ヘッダ情報を使ってウェブページに出力する処理が行なわれています。しかし、この出力処理が不適切であるため、当該サイトを閲覧したユーザのブラウザ上でスクリプトが実行されてしまう可能性があります。
ユーザのブラウザ上で任意のスクリプトが実行される可能性があります。
アップデートする
開発元より提供されている最新バージョンへアップデートすることをお奨めします。
| ベンダ | リンク |
| 株式会社オプト | ADPLAN |
このモジュールは ADPLAN Version 3 の SEO サービスを利用している顧客のみに配布されたものであり、株式会社オプトでは改修済みモジュールによる顧客への対応を行なっています。
なお、現バージョンである ADPLAN Version 4 には本脆弱性は存在しません。
JVN では株式会社オプトと調整のうえ、ユーザへの周知とウェブアプリケーション開発者への情報提供を目的として、この問題を掲載しています。
2007.06.06における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:杉山 俊春 氏
- 2007/06/07
- 謝辞の記述を訂正しました。
