公開日:2020/11/17 最終更新日:2020/11/17
JVNVU#99880454
KonaWiki3 における複数の脆弱性
KonaWiki3 には、複数の脆弱性が存在します。
- KonaWiki3.1.2 より前のバージョン
くじらはんどが提供する KonaWiki3 には、次の複数の脆弱性が存在します。
- パス・トラバーサル (CWE-22) - CVE-2020-5670
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N 基本値: 4.7 - パス・トラバーサル (CWE-22) - CVE-2020-5671
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N 基本値: 6.1 - 格納型クロスサイトスクリプティング (CWE-79) - CVE-2020-5672
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4 - 反射型クロスサイトスクリプティング (CWE-79) - CVE-2020-5673
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- URL のクエリによる入力値の検証に不備があり、権限を持たない遠隔の第三者によって、サーバ上の Web サイトのコンテンツが保存されたディレクトリより上位のディレクトリに保存された特定の拡張子を持つファイルを窃取される - CVE-2020-5670
- URL のクエリによる入力値の検証に不備があり、権限を持たない遠隔の第三者によって、サーバ上の Web サイトのコンテンツが保存されたディレクトリより上位のディレクトリに保存された任意のファイルを窃取される - CVE-2020-5671
- 入力値の無害化処理に不備があり、第三者により悪意のあるスクリプトを Wiki ページに書き込まれ、アクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される - CVE-2020-5672
- 入力値の無害化処理に不備があり、細工された URL にアクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される- CVE-2020-5673
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正したバージョンをリリースしています。
- KonaWiki3.1.2
| ベンダ | リンク |
| くじらはんど | KonaWiki |
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者:株式会社Flatt Security stypr 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-5670 |
|
CVE-2020-5671 |
|
|
CVE-2020-5672 |
|
|
CVE-2020-5673 |
|
| JVN iPedia |
|
