製品・ソフトウェアに関する情報

JVN脆弱性詳細

Drupal の Menu モジュールにおけるクロスサイトスクリプティングの脆弱性

タイトル	Drupal の Menu モジュールにおけるクロスサイトスクリプティングの脆弱性
概要	Drupal の Menu モジュールには、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、任意の Web スクリプト、または HTML を注入される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年12月16日0:00
登録日	2010年2月2日11:43
最終更新日	2010年2月2日11:43

影響を受けるシステム

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Drupal

Drupal 5.21 未満

Drupal 6.15 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4370	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4370
National Vulnerability Database (NVD)
2	CVE-2009-4370	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4370

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	drupal-6.15-1AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=785
Drupal Security announcements
2	SA-CORE-2009-009	http://drupal.org/node/661586

その他

No	名前	URL
ISS X-Force Database
1	54872	http://xforce.iss.net/xforce/xfdb/54872
Secunia Advisory
2	SA37815	http://secunia.com/advisories/37815
SecurityFocus
3	37372	http://www.securityfocus.com/bid/37372

変更履歴

No	変更内容	変更日
0	[2010年02月02日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-4370

概要	Cross-site scripting (XSS) vulnerability in the Menu module (modules/menu/menu.admin.inc) in Drupal Core 6.x before 6.15 allows remote authenticated users with permissions to create new menus to inject arbitrary web script or HTML via a menu description, which is not properly handled in the menu administration overview.
概要	Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo Menu (modules/menu/menu.admin.inc) en Drupal Core v6.x anteriores a v6.15 permite a usuarios autenticados remotamente con permisos para crear menús inyectar secuencias de comandos web o HTML de su elección mediante una descripción de menú, que no es manejado adecuadamente en la vista general del menú de administración.
公表日	2009年12月22日1:30
登録日	2021年1月29日13:26
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

No	URL	refsource
1	http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch	cve@mitre.org
2	http://drupal.org/node/661586	cve@mitre.org
3	http://secunia.com/advisories/37815	cve@mitre.org
4	http://www.securityfocus.com/bid/37372	cve@mitre.org
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/54872	cve@mitre.org
6	http://drupal.org/files/sa-core-2009-009/SA-CORE-2009-009-6.14.patch	af854a3a-2127-422b-91ae-364da2661108
7	http://drupal.org/node/661586	af854a3a-2127-422b-91ae-364da2661108
8	http://secunia.com/advisories/37815	af854a3a-2127-422b-91ae-364da2661108
9	http://www.securityfocus.com/bid/37372	af854a3a-2127-422b-91ae-364da2661108
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/54872	af854a3a-2127-422b-91ae-364da2661108