製品・ソフトウェアに関する情報

JVN脆弱性詳細

CMSLogik におけるクロスサイトスクリプティングの脆弱性

Title	CMSLogik におけるクロスサイトスクリプティングの脆弱性
Summary	CMSLogik には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) admin/settings の admin_email (2) admin/settings の header_title (3) admin/settings の site_title (4) admin/captcha_settings の recaptcha_private (5) admin/captcha_settings の recaptcha_public (6) admin/social_settings の fb_appid (7) admin/social_settings の fp_secret (8) admin/social_settings の tw_consumer_key (9) admin/social_settings の tw_consumer_secret (10) admin/gallery/save_item_settings の slug (11) admin/edit_menu_item_ajax の item_link
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2013, midnight
Registration Date	May 15, 2013, 5:35 p.m.
Last Update	May 15, 2013, 5:35 p.m.

Affected System

ThemeLogik

CMSLogik 1.2.0

CMSLogik 1.2.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-3535	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3535
National Vulnerability Database (NVD)
2	CVE-2013-3535	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3535

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
ThemeLogik
1	CMSLogik	http://themelogik.com/cmslogik/home

Change Log

No	Changed Details	Date of change
0	[2013年05月15日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-3535

Summary	Multiple cross-site scripting (XSS) vulnerabilities in CMSLogik 1.2.0 and 1.2.1 allow remote attackers to inject arbitrary web script or HTML via the (1) admin_email, (2) header_title, (3) site_title parameter to admin/settings; (4) recaptcha_private or (5) recaptcha_public parameter to admin/captcha_settings; (6) fb_appid, (7) fp_secret, (8) tw_consumer_key, or (9) tw_consumer_secret parameter to admin/social_settings; (10) slug parameter to admin/gallery/save_item_settings; or (11) item_link parameter to admin/edit_menu_item_ajax. NOTE: this issue might be resultant from CSRF.
Publication Date	May 14, 2013, 8:55 a.m.
Registration Date	Jan. 26, 2021, 3:41 p.m.
Last Update	Nov. 21, 2024, 10:53 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://cxsecurity.com/issue/WLB-2013040105
2	http://cxsecurity.com/issue/WLB-2013040105
3	http://osvdb.org/92322
4	http://osvdb.org/92322
5	http://osvdb.org/92323
6	http://osvdb.org/92323
7	http://osvdb.org/92324
8	http://osvdb.org/92324
9	http://osvdb.org/92325
10	http://osvdb.org/92325
11	http://osvdb.org/92326
12	http://osvdb.org/92326
13	http://packetstormsecurity.com/files/121303/CMSLogik-1.2.1-Cross-Site-Scripting.html
14	http://packetstormsecurity.com/files/121303/CMSLogik-1.2.1-Cross-Site-Scripting.html
15	http://www.exploit-db.com/exploits/24959
16	http://www.exploit-db.com/exploits/24959
17	http://www.zeroscience.mk/en/vulnerabilities/ZSL-2013-5136.php	Exploit
18	http://www.zeroscience.mk/en/vulnerabilities/ZSL-2013-5136.php	Exploit
19	https://exchange.xforce.ibmcloud.com/vulnerabilities/83429
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/83429

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html