公開日:2008/10/06 最終更新日:2009/05/28

JVN#92651529
Nucleus EUC-JP 日本語版におけるクロスサイトスクリプティングの脆弱性

概要

The Nucleus Group が提供する Nucleus には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • Nucleus v3.31 SP1 EUC-JP 日本語版およびそれ以前

    • 開発者によると、本脆弱性はNucleus EUC-JP 日本語版のみに存在し、Nucleus UTF-8 日本語版および英語版 Nucleus では影響を受けないことが確認されています。
    詳しくは開発者が提供する情報をご確認ください。

詳細情報

The Nucleus Group が提供する Nucleus は、オープンソースのコンテンツ管理システム(CMS)です。Nucleus EUC-JP 日本語版には、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

特定のウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
The Nucleus Group Nucleus v3.31 SP2 EUC-JP日本語版のリリースについて

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2008.10.06における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:三井物産セキュアディレクション株式会社 望月 岳 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2008-4446
JVN iPedia JVNDB-2008-000066

更新履歴

2009/05/28
関連文書に CVE を追加しました。