くじらはんど提供のKonaWiki3にXSSほか複数の脆弱性 | ScanNetSecurity
2025.12.19(金)

くじらはんど提供のKonaWiki3にXSSほか複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月17日、KonaWiki3における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
26 views
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月17日、KonaWiki3における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社Flatt Securityのstypr氏が報告を行った。影響を受けるシステムは以下の通り。

KonaWiki3.1.2 より前のバージョン

JVNによると、くじらはんどが提供するKonaWiki3には、パス・トラバーサル(CWE-22)(CVE-2020-5670)、パス・トラバーサル(CWE-22)(CVE-2020-5671)、格納型クロスサイトスクリプティング(CWE-79)(CVE-2020-5672)、反射型クロスサイトスクリプティング(CWE-79)(CVE-2020-5673)の脆弱性が存在する。

想定される影響としては、各脆弱性により異なるが、URLのクエリによる入力値の検証に不備があり権限を持たない遠隔の第三者によって、サーバ上のWebサイトのコンテンツが保存されたディレクトリより上位のディレクトリに保存された特定の拡張子を持つファイルを窃取される(CVE-2020-5670)・任意のファイルを窃取される(CVE-2020-5671)、入力値の無害化処理に不備があり第三者により悪意のあるスクリプトをWikiページに書き込まれ、アクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される(CVE-2020-5672)、入力値の無害化処理に不備があり細工されたURLにアクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される(CVE-2020-5673)可能性がある。

JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」

    アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」

  2. 請求者に「百条委員会の中で、会議録は非公開の部分ではと思います」は市議会会議規則第113条第2項に違反

    請求者に「百条委員会の中で、会議録は非公開の部分ではと思います」は市議会会議規則第113条第2項に違反

  3. GMOサイバーセキュリティ byイエラエ、note のペネトレーションテスト実施

    GMOサイバーセキュリティ byイエラエ、note のペネトレーションテスト実施

  4. 約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果

    約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果

  5. STNet のネットワークに不正アクセス、利用者の個人情報等が漏えいした可能性

    STNet のネットワークに不正アクセス、利用者の個人情報等が漏えいした可能性

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP