脆弱性情報 脆弱性情報概要 脆弱性説明: Wikidforum 2.10 には複数のXSS(クロスサイトスクリプティング)およびSQLインジェクションの脆弱性が存在します。 影響を受けるソフトウェア: Wikidforum 2.10 脆弱性ID: SSCHADV2012-005 OSVDB ID: 80838, 80839, 80840 脆弱性の詳細 XSS脆弱性 PoCコード: - 基本検索: - 詳細検索 -> 著者: - 詳細検索 -> POSTパラメータ 'select_sort': 潜在的なSQLインジェクション脆弱性 PoCコード: - 詳細検索 -> POSTパラメータ 'select_sort': - 詳細検索 -> POSTパラメータ 'opt_search_select': 開示タイムライン 2012-02-19: ベンダーへ通知 2012-03-10: ベンダーから回答なし 2012-03-10: BugTraqで公開 2012-04-14: ベンダーへ再通知(Henri Saloに感謝) 発見者 Stefan Schurtz が発見し、本 advisory を作成しました 参考リンク 脆弱性 advisory Wiki フォーラム討論 OSVDB レコード1 OSVDB レコード2 OSVDB レコード3