製品・ソフトウェアに関する情報

JVN脆弱性詳細

Drupal CCK の nodereference モジュールにおけるクロスサイトスクリプティングの脆弱性

タイトル	Drupal CCK の nodereference モジュールにおけるクロスサイトスクリプティングの脆弱性
概要	Drupal Content Construction Kit (CCK) の nodereference モジュールには、(1) 平文フォーマッタ、または (2) Views.module 無しのオートコンプリートテキストフィールドウイジェットを使用している際、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	第三者により、nodereference フィールドを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2007年8月13日0:00
登録日	2012年6月26日15:54
最終更新日	2012年6月26日15:54

影響を受けるシステム

Drupal

Content Construction Kit 4.7.x-1.6 未満、および 5.x-1.6 未満の 5.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-4363	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4363
National Vulnerability Database (NVD)
2	CVE-2007-4363	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4363

ベンダー情報

No	名前	URL
Drupal
1	DRUPAL-SA-2007-019	http://drupal.org/node/166992

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-4363

概要	Multiple cross-site scripting (XSS) vulnerabilities in the nodereference module in Drupal Content Construction Kit (CCK) before 4.7.x-1.6, and 5.x before 5.x-1.6 ,allow remote attackers to inject arbitrary web script or HTML via nodereference fields, when using (1) the plain formatter or (2) the autocomplete text field widget without Views.module.
概要	Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el módulo nodereference de Drupal Content Construction Kig (CCK) anterior a 4.7.x-1.6, y 5.x anterior a 5.x-1.6, permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de campos nodereference, cuando se usa (1) el formateador simple (plain formatter) o (2) la mini-aplicación (widget) de autocompletado de campos de texto sin Views.module.
公表日	2007年8月16日4:17
登録日	2021年1月29日14:18
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:drupal:content_construction_kit:4.7:::::::*
cpe:2.3:a:drupal:content_construction_kit:5.2:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://drupal.org/node/166992	cve@mitre.org
2	http://drupal.org/node/166994	cve@mitre.org
3	http://drupal.org/node/166998	cve@mitre.org
4	http://osvdb.org/37208	cve@mitre.org
5	http://osvdb.org/37209	cve@mitre.org
6	http://secunia.com/advisories/26416	cve@mitre.org
7	http://www.securityfocus.com/bid/25321	cve@mitre.org
8	http://www.vupen.com/english/advisories/2007/2876	cve@mitre.org
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/36000	cve@mitre.org
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/36002	cve@mitre.org
11	http://drupal.org/node/166992	af854a3a-2127-422b-91ae-364da2661108
12	http://drupal.org/node/166994	af854a3a-2127-422b-91ae-364da2661108
13	http://drupal.org/node/166998	af854a3a-2127-422b-91ae-364da2661108
14	http://osvdb.org/37208	af854a3a-2127-422b-91ae-364da2661108
15	http://osvdb.org/37209	af854a3a-2127-422b-91ae-364da2661108
16	http://secunia.com/advisories/26416	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securityfocus.com/bid/25321	af854a3a-2127-422b-91ae-364da2661108
18	http://www.vupen.com/english/advisories/2007/2876	af854a3a-2127-422b-91ae-364da2661108
19	https://exchange.xforce.ibmcloud.com/vulnerabilities/36000	af854a3a-2127-422b-91ae-364da2661108
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/36002	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧