公開日:2007/01/22 最終更新日:2007/01/22

JVN#07274813
phpAdsNew におけるクロスサイトスクリプティングの脆弱性

概要


オープンソースのウェブ広告作成・管理システムである phpAdsNew には、クロスサイトスクリプティングの脆弱性が存在します。
なお、phpAdsNew はアップデートに伴い、製品名が Openads に変更されています。

影響を受けるシステム

  • phpAdsNew 2.0.9-pr1 およびそれ以前

詳細情報


本件は phpAdsNew の脆弱性として届出られたものですが、共通のモジュールを使用する以下の製品にも影響があります。

  • phpPgAds 2.0.9-pr1 およびそれ以前
  • Max Media Manager v0.1.29-rc およびそれ以前
  • Max Media Manager v0.3.30-alpha およびそれ以前

    これらの製品を使用するユーザは、ベンダが提供する最新版にアップデートすることを推奨します。

    各製品のアップデート版は、以下の対応になります。
  • phpAdsNew 2.0.9-pr1 のアップデート版は、 Openads 2.0.10 です。
  • phpPgAds 2.0.9-pr1 のアップデート版は、Openads for PostgreSQL 2.0.10 です。
  • Max Media Manager v0.1.29-rc および v0.3.30-alpha のアップデート版は、Openads 2.3.31 です。

    • 想定される影響


    phpAdsNew に管理者としてログインしたユーザのブラウザ上で、任意のスクリプトが実行される可能性があります。その結果、Cookie 情報が漏えいしたり、表示が改ざんされる可能性があります。

    対策方法

    ベンダ情報

    ベンダ リンク
    Openads Openads And Openads For Postgresql 2.0.10 Released!, Openads products were formerly known as phpAdsNew and phpPgAds
    Openads 2.3.31 (aka Max Media Manager) Released!
    Openads - Home

    参考情報

    1. IPA
      「phpAdsNew」におけるクロスサイト・スクリプティングの脆弱性

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
    下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
    報告者: 株式会社セキュアスカイ・テクノロジー 福森 大喜 氏

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE
    JVN iPedia