公開日:2011/01/18 最終更新日:2011/01/18
JVN#09115481
複数の Rocomotion 製品におけるクロスサイトスクリプティングの脆弱性
Rocomotion が提供する複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。
- P board 1.18 およびそれ以前
- P board with G 1.13 およびそれ以前
- P board R 1.17 およびそれ以前
- P board R with G 1.17 およびそれ以前
- P board RI 1.18 およびそれ以前
- P board RI with G 1.16 およびそれ以前
- P board RI with GBO 1.12 およびそれ以前
- P forum 1.30 およびそれ以前
- P up board 1.38 およびそれ以前
- P up board with G 1.27 およびそれ以前
- P up board with GBO 1.18 およびそれ以前
- P up board I with G 1.17 およびそれ以前
- P up board random 1.28 およびそれ以前
- P up board random 2 1.02 およびそれ以前
- P diary R 1.13 およびそれ以前
- P link 1.11 およびそれ以前
- P link compact 1.04 およびそれ以前
- pplog 3.31 およびそれ以前
- pplog2 3.37 およびそれ以前
- PM bbs 1.07 およびそれ以前
- PM up bbs 1.08 およびそれ以前
- PM forum 1.18 およびそれ以前
Rocomotion が提供する電子掲示板ソフトウェア P board などの複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。
なお、本脆弱性は以下のバージョンで修正されています。
- P board 1.19
- P board with G 1.14
- P board R 1.18
- P board R with G 1.18
- P board RI 1.19
- P board RI with G 1.17
- P board RI with GBO 1.13
- P forum 1.31
- P up board 1.39
- P up board with G 1.28
- P up board with GBO 1.19
- P up board I with G 1.18
- P up board random 1.29
- P up board random 2 1.03
- P diary R 1.14
- P link 1.12
- P link compact 1.05
- pplog 3.32
- pplog2 3.38
- PM bbs 1.08
- PM up bbs 1.09
- PM forum 1.19
2011.01.18における脆弱性分析結果
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
| 攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社キノトロープ 富永 冴樹 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2010-3931 |
| JVN iPedia |
JVNDB-2011-000006 |
