AQUOS SH-M02 ビルド番号 01.00.05 およびそれ以前 AQUOS SH-RM02 ビルド番号 01.00.04 およびそれ以前 AQUOS mini SH-M03 ビルド番号 01.00.04 およびそれ以前 AQUOS ケータイ SH-N01 ビルド番号 01.00.01 およびそれ以前 AQUOS L2 (UQ mobile/J:COM) ビルド番号 01.00.05 およびそれ以前 AQUOS sense lite SH-M05 ビルド番号 03.00.04 およびそれ以前 AQUOS sense (UQ mobile) ビルド番号 03.00.03 およびそれ以前 AQUOS compact SH-M06 ビルド番号 02.00.02 およびそれ以前 AQUOS sense plus SH-M07 ビルド番号 02.00.02 およびそれ以前 AQUOS sens
CGI RESCUE より提供されている WebFORM はフォームに入力された内容を電子メールにて送信するソフトウェアです。 WebFORM にはメールのヘッダ部分へ挿入される入力値の検査が適切に行なわれないことにより、任意の宛先へメールの送信に利用される脆弱性が存在します。 WebFORM v4.1 およびそれ以前 また、ベンダの提供する情報では、同様の脆弱性が FORM2MAIL にも存在し、その修正版のリリースを確認しております。
「Sophos Disk Encryption」における認証不備の脆弱性の対策について(JVN#63940326):IPA 独立行政法人 情報処理推進機構
ソフォス株式会社が提供する「Sophos Disk Encryption」は、ハードディスク上のデータを暗号化するための製品です。Windows の初期設定では、コンピュータがスリープ、休止状態から復帰する際にログオン認証を求められますが、当該製品がインストールされたコンピュータでは、ログオン認証が行われず、第三者によって操作が可能となります。 悪用された場合の影響が大きい脆弱性であるため、できるだけ早急に製品開発者が提供する情報をもとに、「Sophos Enterprise Console (SEC)」を Ver. 5.2.2 以降へアップデートするかワークアラウンドを実施してください。
株式会社アドウェイズが提供する iOS 版 Party Track SDK には、サーバ証明書の検証不備の脆弱性が存在します。 株式会社アドウェイズが提供する iOS 版 Party Track SDK が組み込まれた iOS アプリには、HTTPS を利用した暗号通信において、サーバ証明書を適切に検証しない脆弱性が存在します。 開発者によると、SDK が行う通信以外にも、NSURLConnection を使って行うアプリ内の通信全般がサーバ証明書を検証しない状態になるとのことです。
以下のAtermシリーズ製品のすべてのバージョンが本脆弱性の影響を受けます。 CR2500P MR01LN MR02LN W300P W1200EX(-MS) WF300HP WF300HP2 WF800HP WF1200HP WF1200HP2 WG300HP WG600HP WG1200HP WG1200HP2 WG1200HP3 WG1200HS WG1200HS2 WG1200HS3 WG1400HP WG1800HP WG1800HP2 WG1800HP3 WG1800HP4 WG1810HP(JE) WG1810HP(MF) WG1900HP WG1900HP2 WG2200HP WM3400RN WM3450RN WM3500R WM3600R WM3800R WR1200H WR4100N WR4500N WR6600H WR6650S WR6670S WR7800H WR
株式会社インターネットイニシアティブが提供する Android アプリ「IIJ SmartKey」は、Android デバイスを用いてウェブサイトへの二段階認証 (二要素認証) を行うためのアプリケーションです。Android アプリ「IIJ SmartKey」には、認証不備 (CWE-287) の脆弱性が存在します。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 なお開発者は、当該製品を速やかにバージョン 2.1.1 以降へアップデートすることを推奨しています。 ワークアラウンドを実施する 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 Android OS 標準の画面ロック機能を利用する
ジャストシステムが提供する ATOK for Android には、学習情報ファイルのアクセス権限に関する問題が存在します。 ATOK for Android バージョン 1.0.4 より前のバージョン開発者によると、バージョン情報は以下の手順で確認できるとのことです。 【バージョン番号の確認手順】 文字入力画面で「あA1」をロングタッチして、ATOKメニュー → 「ATOKの設定」をタップします。最下位行に表示されるバージョン情報を確認します。 日本語入力システム ATOK Ver.1.X.X ← この数字がバージョン番号 (C)2012 株式会社ジャストシステム ※ Ver.1.0.4以降であれば、この問題は解決されています。
JVN#02852421 Yahoo!ツールバー (Internet explorer 版) のインストーラにおける任意の DLL 読み込みの脆弱性
Android OS には、任意の Java のメソッドが実行される脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 江口 珠美 氏
GVim は、テキストエディタです。GVim はテキストファイルを開く際に、特定の DLL を読み込みます。GVim には、DLL を読み込む際の DLL 検索パスに問題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。
「EC-CUBE」における情報漏えいの脆弱性対策について(JVN#55630933):IPA 独立行政法人 情報処理推進機構
次の製品が対象です。 EC-CUBE 2.12.3 EC-CUBE 2.12.3en EC-CUBE 2.12.3enP1 EC-CUBE 2.12.3enP2 EC-CUBE 2.12.4 EC-CUBE 2.12.4en EC-CUBE 2.12.5 EC-CUBE 2.12.5en EC-CUBE 2.12.6 EC-CUBE 2.12.6en EC-CUBE 2.13.0
2016年10月17日以前に公開されていた次のインストーラが、本脆弱性の影響を受ける可能性があります。 仕様チェックプログラム(社会保険) Ver. 9.00 およびそれ以前 届書印刷プログラム Ver. 5.00 およびそれ以前 媒体データパスワード設定プログラム Ver. 1.00 およびそれ以前 届書作成プログラム Ver. 15.00 およびそれ以前 日本年金機構が提供する複数の製品のインストーラには、DLL を読み込む際の検索パスに関する処理に不備があり、意図しない DLL を読み込んでしまう脆弱性が存在します。 次の条件を満たす場合に脆弱性が悪用されます。脆弱性が悪用された場合、インストーラを実行しているプロセスの権限で任意のコードを実行される可能性があります。 攻撃者の意図する場所に、細工された DLL ファイルが何らかの方法で配置されている
JVN#25731073 複数のクックパッド製 Android アプリケーションにおける WebView クラスに関する脆弱性
LINE株式会社が提供する iOS 版 LINE には、SSL サーバ証明書の検証不備の脆弱性が存在します。 iOS 版 LINE バージョン 7.1.3 以上 7.15 以下 7.1.3 未満のバージョンおよび 7.16 以上のバージョンは本脆弱性の影響を受けません。
Sun Microsystems が提供する MySQL Connector/J は、MySQL データベースにアクセスするための Java 言語用ドライバソフトウェアです。MySQL Connector/J には、SQL インジェクションの脆弱性が存在します。
SSL プロトコル バージョン 3.0 TLS プロトコル バージョン 1.0 TLS 1.1 および TLS 1.2 は、本脆弱性の影響を受けないとのことです。 SSL および TLS を使用する複数のベンダ製品が影響を受ける可能性があります。 Google Google Chrome Mozilla Foundation Mozilla Firefox Opera Software ASA Opera VMware VMware ESX 3.5 VMware ESX 4.0 VMware ESX 4.1 VMware vCenter 4.0 (Windows) VMware vCenter 4.1 (Windows) VMware vCenter 5.0 (Windows) VMware VirtualCenter 2.5 (Windows) アップル Apple TV 4.0 から
WordPress 用プラグイン「WP Job Manager」におけるアクセス制限不備の問題について(JVN#56787058):IPA 独立行政法人 情報処理推進機構
Automattic Inc. が提供する WordPress 用プラグイン「WP Job Manager」は、求人情報用の WordPress プラグインです。WordPress 用プラグイン「WP Job Manager」には、アクセス制限不備の問題が存在します。ウェブサイトにログインしていない遠隔の第三者によって、画像ファイルをアップロードされ、ウェブサイトが改ざんされる可能性があります。
CVSS v2 による深刻度 基本値: 5.1 (警告) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 高 攻撃前の認証要否: 不要 機密性への影響(C): 部分的 完全性への影響(I): 部分的 可用性への影響(A): 部分的 Apache Software Foundation Apache HTTP Server 2.2.25 未満の 2.2.x アップル Apple Mac OS X v10.7.5 Apple Mac OS X v10.8.5 Apple Mac OS X v10.9 Apple Mac OS X v10.9.1 Apple Mac OS X Server v10.7.5 オラクル Oracle Fusion Middleware の Oracle Forms and Reports 11.1.2.1 Oracle Fusion Middlewar
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JPCERT/CCは12月12日、掲示板ソフトウェア「Rainboard」にXSS(クロスサイトスクリプティング)の脆弱性が確認されたとして関連情報を公開した。この脆弱性は、Rainboardのバージョン2.02とそれ以前が影響を受ける。 Rainboardは、UDONが提供する掲示板ソフトウェア。該当するバージョンでは、任意のスクリプトが埋めこめてしまうクロスサイト・スクリプティングの問題が存在する。この問題が悪用されると、悪意あるサイトからRainboardへのリンクなど通じて Cookie の内容を盗み見られるなど、任意のJavascriptコードなどを実行される可能性がある。 なお、Rainboardにはこの脆弱性が修正されたバ
「Apache Struts」において任意のコードを実行可能な脆弱性対策について(JVN#07710476):IPA 独立行政法人 情報処理推進機構
Apache Software Foundation が提供する「Apache Struts」は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。「Apache Struts」の「REST Plugin」を使用して開発された Web アプリケーションには、任意のコードを実行可能な脆弱性が存在します。 遠隔の第三者によって、任意のコードを実行される可能性があります。 本脆弱性を使用した攻撃コードが公開されているため、至急、製品開発者が提供する情報をもとに、最新版へアップデートしてください。 なお、JVN#45093481、JVN#12352818 についても、「Apache Struts」の脆弱性対策情報が公表されています。
SensioLabs が提供する Symfony は、オープンソースのウェブアプリケーションフレームワークです。Symfony には、コードインジェクションの脆弱性が存在します。Symfony を使用するアプリケーションにおいて、リバースプロキシ機能 (HttpCache クラス) を使用し ESI サポートを有効にしている場合に、本脆弱性の影響を受けます。
キヤノン株式会社が提供する PIXUS MG7530 には、クロスサイトリクエストフォージェリの脆弱性が存在します。
サイボウズ Office 7 サイボウズ デヂエ 6 サイボウズ メールワイズ 3 詳しくは開発者が提供する情報をご確認ください。 サイボウズ株式会社が提供するグループウェアなどの複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。 なお、本脆弱性は JVN#50342989 とは異なる問題です。
JVN#14876762 Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 緊急 Commons FileUpload 1.0 から 1.3 まで Apache Tomcat 8.0.0-RC1 から 8.0.1 まで Apache Tomcat 7.0.0 から 7.0.50 まで Apache Commons FileUpload を使用するその他の製品 Apache Tomcat によると、Apache Tomcat 6 およびそれ以前は、本脆弱性の影響を受けないとのことです。 なお、Apache Commons FileUpload は、Apache が提供する複数の製品に使用されているため、Apache Tomcat 以外の製品も、本脆弱性の影響を受ける可能性があります。Apache から提供された情報によると、FileUploa
魔法少女まどか☆マギカ iP for Android には、Twitter との連携機能があります。魔法少女まどか☆マギカ iP for Android には、ユーザの入力した Twitter のアカウント情報を平文でログファイルに出力してしまう問題が存在します。
JVN に掲載されたクロスサイト・スクリプティング問題
■JVN に掲載されたクロスサイト・スクリプティング問題 (2007/06) JVNに掲載された2007年06月分のクロスサイト・スクリプティング問題は9件です。 JVN#07100457 Apache Tomcat におけるクロスサイト・スクリプティングの脆弱性 JVN#16535199 Apache Tomcat の Accept-Language ヘッダの処理に関するクロスサイト・スクリプティングの脆弱性 JVN#23891849 ADPLAN におけるクロスサイト・スクリプティングの脆弱性 JVN#44532794 rktSNS におけるクロスサイト・スクリプティングの脆弱性 JVN#63602912 dotProject におけるクロスサイト・スクリプティングの脆弱性 JVN#64851600 Apache Tomcat 付属のサンプルプログラムにおけるクロスサイト・スクリプティ
NECビッグローブ株式会社の提供する Android 版 嫁コレには、IMEI (端末識別番号) を SD カードに保存する問題が存在します。 当該製品が IMEI を SD カードに保存することによって、READ_PHONE_STATE パーミッションを持たないアプリケーションでも IMEI を得ることができます。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 慶應義塾大学武田圭史研究室 八木橋 優 氏
RX-V200 ファームウェア バージョン 09.87.17.09 より前のバージョン RX-V100 ファームウェア バージョン 03.29.17.09 より前のバージョン RX-CLV1-P ファームウェア バージョン 79.17.17.09 より前のバージョン RX-CLV2-B ファームウェア バージョン 89.07.17.09 より前のバージョン RX-CLV3-N ファームウェア バージョン 91.09.17.10 より前のバージョン シャープ株式会社が提供するロボット家電 COCOROBO は、掃除機能を搭載したロボットです。ロボット家電 COCOROBO には、セッション管理不備 (CWE-639) の脆弱性が存在します。
ウェブブラウザを利用してウェブサーバ上の文書を編集する機能を持ついくつかの Wiki クローン製品には、特定のリクエストを処理する際に CPU 資源やメモリを多量に消費する問題があります。
KENT-WEB が提供する Clip Board は、画像などのバイナリファイルをアップロード可能な掲示板ソフトウェアです。Clip Board には、任意のファイルを削除される脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 馬場 将次 氏
東日本電信電話株式会社および西日本電信電話株式会社が提供するひかり電話ルータ/ホームゲートウェイには、複数の脆弱性が存在します。 東日本電信電話株式会社 ひかり電話ルータ PR-S300NE/RT-S300NE/RV-S340NE ファームウェアバージョン Ver. 19.41 およびそれ以前 ひかり電話ルータ PR-S300HI/RT-S300HI/RV-S340HI ファームウェアバージョン Ver.19.01.0005 およびそれ以前 ひかり電話ルータ PR-S300SE/RT-S300SE/RV-S340SE ファームウェアバージョン Ver.19.40 およびそれ以前 ひかり電話ルータ PR-400NE/RT-400NE/RV-440NE ファームウェアバージョン Ver.7.42 およびそれ以前 ひかり電話ルータ PR-400KI/RT-400KI/RV-440KI ファームウ
Explzh Ver.5.62 およびそれ以前 Explzh に含まれている Arcext.dll のバージョンが 2.16.1 およびそれ以前である場合、本脆弱性の影響を受けます。 Explzh は、複数の圧縮ファイル形式に対応した圧縮・展開を主な機能とするソフトウェアです。Explzh には、LHA 書庫ファイルのヘッダ処理にバッファオーバーフローの脆弱性が存在します。
JVN#51325625の変種について::IEにみられるクロスサイトスクリプティングの脆弱性 - st4rdustの日記
この文書はなにか JVN#51325625 が示めすように、Internet Explorer には、EUC-JP で記述された特定の文字列の処理に問題があり、クロスサイトスクリプティングの脆弱性が存在する。この脆弱性の変種として、EUC-JP のみならず ISO-2022-JP においても同様な脆弱性が存在していることを示す。 断り書き 個人的な調査によるものであり、全面的な解析を含んでいないため、情報に欠落している部分や、間違っている部分もあるだろう。本記事を読まれた方々は、あらためて検討しなおして頂きたい。 影響を受けるシステム InternetExplorer 6 ないし 7 概略 Internet Explorer には、ISO-2022-JP のHTML文書として解釈された文書の解析にあたり、そのファイルに記述された特定の文字列の処理に問題があり、クロスサイトスクリプティングの
複数のジャストシステム製品同梱の「オンラインアップデートプログラム」に任意のコード実行可能な脆弱性について(JVN#50129191):IPA 独立行政法人 情報処理推進機構
複数のジャストシステム製品に同梱されている「JUSTオンラインアップデート」および「JUSTオンラインアップデート for J-License」および管理ツールには、内部処理に問題があり、アップデートモジュールの電子署名が不正であった場合でも、アップデートプログラムを実行してしまう脆弱性が存在します。 なお、本脆弱性は、各製品本体の問題ではなく、各製品に同梱されているオンラインアップデート機能の問題です。
株式会社はてなが提供する iOSアプリ「はてなブックマーク」には、実際にアクセスする URL とは異なる URL を、アドレスバーに表示してしまう脆弱性が存在します。
以下の各製品の、5.12、5.06 および 4.37、4.292 を含むバージョンが影響を受けます。 Movable Type Open SourceMovable Type (Professional Pack, Community Pack を同梱)Movable Type Enterprise Movable Type Advanced詳しくは開発者が提供する情報をご確認ください。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#93064451: 複数のシャープ製 Android 端末における情報漏えいの脆弱性
「FuelPHP」に任意のコードを実行される脆弱性(JVN) | ScanNetSecurity
JVN#39570254 CGI RESCUE 製 WebFORM においてメールの不正送信が可能な脆弱性 : JP Vendor Status Notes
JVN#48211537: iOS 版 Party Track SDK におけるサーバ証明書の検証不備の脆弱性
JVN#82074338: NEC Atermシリーズにおける複数の脆弱性
JVN#27137002: Android アプリ「IIJ SmartKey」における認証不備の脆弱性
JVN#93344001: ATOK for Android における学習情報ファイルのアクセス権限に関する問題
JVN#02852421: Yahoo!ツールバー (Internet explorer 版) のインストーラにおける任意の DLL 読み込みの脆弱性
JVNDB-2013-000111 - JVN iPedia - 脆弱性対策情報データベース
JVN#27868039: GVim における DLL 読み込みに関する脆弱性
JVN#08868688: 日本年金機構製の複数のインストーラにおける DLL 読み込みに関する脆弱性
JVN#25731073: 複数のクックパッド製 Android アプリケーションにおける WebView クラスに関する脆弱性
JVN#75453852: iOS 版 LINE における SSL サーバ証明書の検証不備の脆弱性
JVN#59748723: MySQL Connector/J における SQL インジェクションの脆弱性
JVNDB-2011-002305 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2013-002948 - JVN iPedia - 脆弱性対策情報データベース
掲示板ソフト「Rainboard」にXSSの脆弱性--JVNなどで警告
JVN#19578958: Symfony におけるコードインジェクションの脆弱性
JVN#07427376: PIXUS MG7530 におけるクロスサイトリクエストフォージェリの脆弱性
「OpenSSL」に新たな複数の脆弱性、深刻度は「中」レベル(JVN) | ScanNetSecurity
JVN#23108985: 複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
JVN#14876762: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性
JVN#23328321: 魔法少女まどか☆マギカ iP for Android における情報漏えいの脆弱性
JVN#05102851: Android 版 嫁コレにおける端末識別番号の管理不備の脆弱性
JVN#12513975: 改造版 TOWN におけるクロスサイトスクリプティングの脆弱性
ショートカットファイルの実行で攻撃の恐れ ~JVNがWindowsの脆弱性について注意喚起/6月にリリースされた月例のセキュリティアップデートですでに修正済み
JVN#76382932: ロボット家電 COCOROBO におけるセッション管理不備の脆弱性
JVN#98836916: 複数のWiki クローン製品におけるサービス運用妨害 (DoS) の脆弱性
JVNDB-2015-000028 - JVN iPedia - 脆弱性対策情報データベース
JVN#43172719: ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性
JVN#34729123: Explzh におけるバッファオーバーフローの脆弱性
JVN#77753476: iOSアプリ「はてなブックマーク」におけるアドレスバー偽装の脆弱性
JVN#20083397: Movable Type におけるセッションハイジャックが可能な脆弱性