NVD Vulnerability Detail

CVE-2021-20684

Summary	Cross-site scripting vulnerability in MagazinegerZ v.1.01 allows remote attackers to inject an arbitrary script via unspecified vectors.
Publication Date	April 7, 2021, 5:15 p.m.
Registration Date	April 7, 2021, 8:02 p.m.
Last Update	Nov. 21, 2024, 2:47 p.m.

CVSS3.1 : MEDIUM
スコア	6.1
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	要
影響の想定範囲(S)	変更あり
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	はい

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:magazinegerz_project:magazinegerz:1.01:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	https://jvn.jp/en/jp/JVN97370614/index.html		Third Party Advisory
2	https://jvn.jp/en/jp/JVN97370614/index.html		Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

マガジンガーＺにおけるクロスサイトスクリプティングの脆弱性

Title	マガジンガーＺにおけるクロスサイトスクリプティングの脆弱性
Summary	CGI Script Market が提供するマガジンガーＺ <http://cgiscriptmarket.com/magazinegerZ/> は、ウェブサイトにメールマガジン配信機能を提供する CGI スクリプトです。マガジンガーＺには、管理画面にログインした管理者のウェブブラウザ上で、意図しないスクリプトが実行される格納型クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。この案件は、2021年1月22日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 1. 当該案件が調整不能であること 2. 脆弱性の存在が認められると判断できること 3. IPA が公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること 4. 製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと
Possible impacts	当該製品を使用しているサイトにアクセスした、管理者権限を持つユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
Solution	[マガジンガーＺ v.1.01 の使用中止を検討してください] 製品開発者と連絡が取れないため、本脆弱性の対策状況は不明です。
Publication Date	March 25, 2021, midnight
Registration Date	March 25, 2021, 3:02 p.m.
Last Update	March 25, 2021, 3:02 p.m.

Affected System

CGI Script Market

マガジンガーＺ v.1.01

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-20684	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20684

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

その他

No	Name	URL
JVN
1	JVN#97370614	https://jvn.jp/jp/JVN97370614/index.html

Change Log

No	Changed Details	Date of change
1	[2021年03月25日] 掲載	March 19, 2021, 2:56 p.m.