くじらはんど提供のKonaWiki3にXSSほか複数の脆弱性 | ScanNetSecurity
2026.02.02(月)

くじらはんど提供のKonaWiki3にXSSほか複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月17日、KonaWiki3における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
26 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月17日、KonaWiki3における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社Flatt Securityのstypr氏が報告を行った。影響を受けるシステムは以下の通り。

KonaWiki3.1.2 より前のバージョン

JVNによると、くじらはんどが提供するKonaWiki3には、パス・トラバーサル(CWE-22)(CVE-2020-5670)、パス・トラバーサル(CWE-22)(CVE-2020-5671)、格納型クロスサイトスクリプティング(CWE-79)(CVE-2020-5672)、反射型クロスサイトスクリプティング(CWE-79)(CVE-2020-5673)の脆弱性が存在する。

想定される影響としては、各脆弱性により異なるが、URLのクエリによる入力値の検証に不備があり権限を持たない遠隔の第三者によって、サーバ上のWebサイトのコンテンツが保存されたディレクトリより上位のディレクトリに保存された特定の拡張子を持つファイルを窃取される(CVE-2020-5670)・任意のファイルを窃取される(CVE-2020-5671)、入力値の無害化処理に不備があり第三者により悪意のあるスクリプトをWikiページに書き込まれ、アクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される(CVE-2020-5672)、入力値の無害化処理に不備があり細工されたURLにアクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される(CVE-2020-5673)可能性がある。

JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 通行中の市民がごみステーションで生活保護受給者の申請書を発見

    通行中の市民がごみステーションで生活保護受給者の申請書を発見

  2. ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策

    ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策PR

  3. AI とサイバーセキュリティをテーマに「第3回 GMO大会議・春・サイバーセキュリティ2026」を 3 / 5 開催

    AI とサイバーセキュリティをテーマに「第3回 GMO大会議・春・サイバーセキュリティ2026」を 3 / 5 開催

  4. 今日もどこかで情報漏えい 第44回「2025年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

    今日もどこかで情報漏えい 第44回「2025年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

  5. 懲戒解雇処分に ~ 阿波銀行の元職員、87,410 円着服と 666 件の顧客情報持ち出し

    懲戒解雇処分に ~ 阿波銀行の元職員、87,410 円着服と 666 件の顧客情報持ち出し

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP