VDB-10090 · OSVDB 96686 · GCVE-100-10090

Drupal 迄 7.22 クロスサイトスクリプティング

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.0	$0-$5k	0.00

要約情報

Drupal 迄 7.22内に問題があるとして分類された脆弱性が発見されました。対象となるのは不明な関数です。引数の操作が、クロスサイトスクリプティングをもたらします。リモート攻撃が可能です。さらに、攻撃手法が利用可能です。この問題を修正するためにパッチを適用することを推奨します。

Drupal 迄 7.22内に問題があるとして分類された脆弱性が発見されました。対象となるのは不明な関数です。引数の操作が、クロスサイトスクリプティングをもたらします。この脆弱性に対応するCWEの定義は CWE-80 です。この弱点は発表されました 2013年08月14日 Justin C. Klein Keaneによって Drupal core XSS vulnerabilityとして Mailinglist Postとして（Full-Disclosure）。アドバイザリはseclists.orgにて共有されています。公開情報のリリースはベンダーと協議済みです。

リモート攻撃が可能です。技術的な詳細は利用できません。この脆弱性の一般的な利用度は平均を下回っています。さらに、攻撃手法が利用可能です。エクスプロイトが公に開示されており、悪用される可能性があります。今のところ、エクスプロイトの価格は判明していません。 MITRE ATT&CKプロジェクトはT1059.007という攻撃手法を宣言しています。

概念実証として宣言されています。 0dayにはおよそ $0-$5k の価値があったと予想しています。】のプラグインを提供しています。

この問題を修正するためにパッチを適用することを推奨します。脆弱性が公開されてからすぐに後に、対策が発表されました。