Revive Adserverにおけるクロスサイトスクリプティングの脆弱性
| Title |
Revive Adserverにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
stats-video.phpスクリプトにはユーザー入力に対するサニタイズが欠如している脆弱性があります。このスクリプトのURL構築方法はベストプラクティスに従っておらず、Smartyのカスタムヘルパー関数であるurlの出力は適切にエンコードもサニタイズもされていませんでした。そのため、ユーザーからの入力がエスケープされずに反映されてしまいます。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 26, 2026, midnight |
| Registration Date |
June 30, 2026, 11:19 a.m. |
| Last Update |
June 30, 2026, 11:19 a.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Affected System
| Revive Adserver |
|
Revive Adserver 6.0.8 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月30日]
掲載 |
June 30, 2026, 11:19 a.m. |
NVD Vulnerability Information
CVE-2026-50745
| Summary |
A missing sanitisation vulnerability exists with user input in the stats-video.php script. The way URLs to this script were constructed did not follow best practices, and the output of the Smarty custom helper function url was neither properly encoded nor sanitised, allowing user‑supplied input to be reflected without escaping.
|
| Publication Date |
June 26, 2026, 11:16 a.m. |
| Registration Date |
June 27, 2026, 4:32 a.m. |
| Last Update |
June 27, 2026, 1:11 a.m. |
Related information, measures and tools
Common Vulnerabilities List