公開日:2011/01/18 最終更新日:2011/01/18

JVN#09115481
複数の Rocomotion 製品におけるクロスサイトスクリプティングの脆弱性

概要

Rocomotion が提供する複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • P board 1.18 およびそれ以前
  • P board with G 1.13 およびそれ以前
  • P board R 1.17 およびそれ以前
  • P board R with G 1.17 およびそれ以前
  • P board RI 1.18 およびそれ以前
  • P board RI with G 1.16 およびそれ以前
  • P board RI with GBO 1.12 およびそれ以前
  • P forum 1.30 およびそれ以前
  • P up board 1.38 およびそれ以前
  • P up board with G 1.27 およびそれ以前
  • P up board with GBO 1.18 およびそれ以前
  • P up board I with G 1.17 およびそれ以前
  • P up board random 1.28 およびそれ以前
  • P up board random 2 1.02 およびそれ以前
  • P diary R 1.13 およびそれ以前
  • P link 1.11 およびそれ以前
  • P link compact 1.04 およびそれ以前
  • pplog 3.31 およびそれ以前
  • pplog2 3.37 およびそれ以前
  • PM bbs 1.07 およびそれ以前
  • PM up bbs 1.08 およびそれ以前
  • PM forum 1.18 およびそれ以前

詳細情報

Rocomotion が提供する電子掲示板ソフトウェア P board などの複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。

なお、本脆弱性は以下のバージョンで修正されています。

  • P board 1.19
  • P board with G 1.14
  • P board R 1.18
  • P board R with G 1.18
  • P board RI 1.19
  • P board RI with G 1.17
  • P board RI with GBO 1.13
  • P forum 1.31
  • P up board 1.39
  • P up board with G 1.28
  • P up board with GBO 1.19
  • P up board I with G 1.18
  • P up board random 1.29
  • P up board random 2 1.03
  • P diary R 1.14
  • P link 1.12
  • P link compact 1.05
  • pplog 3.32
  • pplog2 3.38
  • PM bbs 1.08
  • PM up bbs 1.09
  • PM forum 1.19

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
Rocomotion 該当製品あり 2011/01/18

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2011.01.18における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社キノトロープ 富永 冴樹 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-3931
JVN iPedia JVNDB-2011-000006