製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の WSO2 製品におけるクロスサイトスクリプティングの脆弱性

タイトル	複数の WSO2 製品におけるクロスサイトスクリプティングの脆弱性
概要	複数の WSO2 製品には、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	情報を取得される、および情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2020年8月9日0:00
登録日	2021年12月8日16:12
最終更新日	2021年12月8日16:12

影響を受けるシステム

WSO2

Identity Server Analytics

Identity Server as Key Manager

WSO2 API Manager

WSO2 API Manager Analytics

WSO2 API Microgateway

WSO2 Enterprise Integrator

WSO2 Identity Server

WSO2 Micro Integrator

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-17453	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17453
National Vulnerability Database (NVD)
2	CVE-2020-17453	https://nvd.nist.gov/vuln/detail/CVE-2020-17453

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
WSO2 Platform Security
1	WSO2-2020-1132	https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2020-1132

変更履歴

No	変更内容	変更日
1	[2021年12月08日] 掲載	2021年12月8日16:12

NVD脆弱性情報

CVE-2020-17453

概要	WSO2 Management Console through 5.10 allows XSS via the carbon/admin/login.jsp msgId parameter.
公表日	2021年4月6日7:15
登録日	2021年4月6日10:00
最終更新日	2024年11月21日14:08

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:wso2:identity_server_as_key_manager:5.7.0:::::::*
cpe:2.3:a:wso2:enterprise_integrator::::::::		6.6.0
cpe:2.3:a:wso2:api_microgateway:2.2.0:::::::*
cpe:2.3:a:wso2:identity_server::::::::		5.10.0
cpe:2.3:a:wso2:api_manager_analytics:2.2.0:::::::*
cpe:2.3:a:wso2:api_manager_analytics:2.5.0:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.5.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.5.0:::::::*
cpe:2.3:a:wso2:micro_integrator:1.0.0:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.4.1:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.6.0:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.4.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.6.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.9.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.10.0:::::::*
cpe:2.3:a:wso2:api_manager_analytics:2.6.0:::::::*
cpe:2.3:a:wso2:api_manager::::::::		3.2.0

構成1	以上	以下	より上	未満
cpe:2.3:a:wso2:identity_server_as_key_manager:5.7.0:::::::*
cpe:2.3:a:wso2:enterprise_integrator::::::::		6.6.0
cpe:2.3:a:wso2:api_microgateway:2.2.0:::::::*
cpe:2.3:a:wso2:identity_server::::::::		5.10.0
cpe:2.3:a:wso2:api_manager_analytics:2.2.0:::::::*
cpe:2.3:a:wso2:api_manager_analytics:2.5.0:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.5.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.5.0:::::::*
cpe:2.3:a:wso2:micro_integrator:1.0.0:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.4.1:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.6.0:::::::*
cpe:2.3:a:wso2:identity_server_analytics:5.4.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.6.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.9.0:::::::*
cpe:2.3:a:wso2:identity_server_as_key_manager:5.10.0:::::::*
cpe:2.3:a:wso2:api_manager_analytics:2.6.0:::::::*
cpe:2.3:a:wso2:api_manager::::::::		3.2.0

No	URL	タグ
1	https://github.com/JHHAX/CVE-2020-17453-PoC	Exploit Third Party Advisory
2	https://github.com/JHHAX/CVE-2020-17453-PoC	Exploit Third Party Advisory
3	https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2021/WSO2-2020-1132/
4	https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2021/WSO2-2020-1132/
5	https://twitter.com/JacksonHHax/status/1374681422678519813	Exploit Third Party Advisory
6	https://twitter.com/JacksonHHax/status/1374681422678519813	Exploit Third Party Advisory