くじらはんど提供のKonaWiki3にXSSほか複数の脆弱性 | ScanNetSecurity
2021.05.16(日)

くじらはんど提供のKonaWiki3にXSSほか複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月17日、KonaWiki3における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月17日、KonaWiki3における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社Flatt Securityのstypr氏が報告を行った。影響を受けるシステムは以下の通り。

KonaWiki3.1.2 より前のバージョン

JVNによると、くじらはんどが提供するKonaWiki3には、パス・トラバーサル(CWE-22)(CVE-2020-5670)、パス・トラバーサル(CWE-22)(CVE-2020-5671)、格納型クロスサイトスクリプティング(CWE-79)(CVE-2020-5672)、反射型クロスサイトスクリプティング(CWE-79)(CVE-2020-5673)の脆弱性が存在する。

想定される影響としては、各脆弱性により異なるが、URLのクエリによる入力値の検証に不備があり権限を持たない遠隔の第三者によって、サーバ上のWebサイトのコンテンツが保存されたディレクトリより上位のディレクトリに保存された特定の拡張子を持つファイルを窃取される(CVE-2020-5670)・任意のファイルを窃取される(CVE-2020-5671)、入力値の無害化処理に不備があり第三者により悪意のあるスクリプトをWikiページに書き込まれ、アクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される(CVE-2020-5672)、入力値の無害化処理に不備があり細工されたURLにアクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される(CVE-2020-5673)可能性がある。

JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 日本で最もセキュリティを大切にする大手通販が経験者採用中 ~ ジャパネットセキュリティ担当者座談会 5/18、6/8(火)19時開催

    日本で最もセキュリティを大切にする大手通販が経験者採用中 ~ ジャパネットセキュリティ担当者座談会 5/18、6/8(火)19時開催PR

  2. WordPressの脆弱性突きサイト改ざん、レンタルサーバがWPの最新バージョンに適応できず

    WordPressの脆弱性突きサイト改ざん、レンタルサーバがWPの最新バージョンに適応できず

  3. 銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件

    銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件

  4. Salesforce 複数サービスで障害発生、約 5 時間で全システム復旧

    Salesforce 複数サービスで障害発生、約 5 時間で全システム復旧

  5. セキュアイノベーション、エンジニア育成にGSX提供「セキュリスト(SecuriST)認定脆弱性診断士 公式トレーニング」活用

    セキュアイノベーション、エンジニア育成にGSX提供「セキュリスト(SecuriST)認定脆弱性診断士 公式トレーニング」活用

  6. 神奈川銀行で2018年5月から計39回の誤送信、業務提携先からの連絡で行内点検し発覚

    神奈川銀行で2018年5月から計39回の誤送信、業務提携先からの連絡で行内点検し発覚

  7. ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

    ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

  8. クラウド型システムの設定不備による茨木市公式アプリ「いばライフ」への不正アクセス、調査結果を発表

    クラウド型システムの設定不備による茨木市公式アプリ「いばライフ」への不正アクセス、調査結果を発表

  9. 誤送信で佛教大学研究者と研究課題の関係者、取引先の個人情報が流出

    誤送信で佛教大学研究者と研究課題の関係者、取引先の個人情報が流出

  10. 岡野バルブ製造のグループシステムへサイバー攻撃、ランサムウェアに感染

    岡野バルブ製造のグループシステムへサイバー攻撃、ランサムウェアに感染

ランキングをもっと見る