NVD Vulnerability Detail
Search Exploit, PoC
CVE-2009-2816
Summary

The implementation of Cross-Origin Resource Sharing (CORS) in WebKit, as used in Apple Safari before 4.0.4 and Google Chrome before 3.0.195.33, includes certain custom HTTP headers in the OPTIONS request during cross-origin operations with preflight, which makes it easier for remote attackers to conduct cross-site request forgery (CSRF) attacks via a crafted web page.

Summary

La implementación de Cross-Origin Resource Sharing (CORS) en WebKit, tal como es usado en Safari de Apple anterior a versión 4.0.4 y Chrome de Google anterior a versión 3.0.195.33, incluye ciertos encabezados HTTP personalizados en la petición OPTIONS durante operaciones entre orígenes con comprobación previa, lo que facilita a los atacantes remotos conducir ataques de tipo cross-site request forgery (CSRF) por medio de una página web especialmente diseñada.

Publication Date Nov. 14, 2009, 12:30 a.m.
Registration Date Jan. 29, 2021, 1:21 p.m.
Last Update April 23, 2026, 9:35 a.m.
CVSS2.0 : MEDIUM
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges はい
User operation required はい
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apple:safari:*:*:*:*:*:*:*:* 4.0.4
cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:* 3.0.195.33
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:* 4.0
cpe:2.3:o:opensuse:opensuse:11.2:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:11.3:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:11:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:12:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
WebKit におけるクロスサイトリクエストフォージェリの脆弱性
Title WebKit におけるクロスサイトリクエストフォージェリの脆弱性
Summary

Apple Safari 等で使用されている WebKit には、OPTIONS リクエストにカスタム HTTP ヘッダを含むため、クロスサイトリクエストフォージェリの脆弱性が存在します。

Possible impacts 巧妙に細工された Web ページにより、第三者にクロスサイトリクエストフォージェリ攻撃を受ける可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Nov. 11, 2009, midnight
Registration Date Jan. 7, 2010, 12:09 p.m.
Last Update July 13, 2010, 4:28 p.m.
Affected System
アップル
Apple Mac OS X v10.4.11
Apple Mac OS X v10.5.8
Apple Mac OS X v10.6.1
Apple Mac OS X v10.6.2
Apple Mac OS X Server v10.4.11
Apple Mac OS X Server v10.5.8
Apple Mac OS X Server v10.6.1
Apple Mac OS X Server v10.6.2
iOS 2.0 から 3.1.3
iOS for iPod touch 2.1 から 3.1.3
iPhone 
iPod touch 
Safari 4.0.4 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2010年01月07日]
  掲載
[2010年07月13日]
  影響を受けるシステム:アップル (HT4225) の情報を追加
  ベンダ情報:アップル (HT4225) を追加		 Feb. 17, 2018, 10:37 a.m.