アーカイブ
Documents Pro (旧 Files HD) におけるクロスサイトスクリプティングの脆弱性
2013年5月23日 | 注意喚起
LAC Advisory No.113
Problem first discovered on: Wed, 23 Jun 2010
Published on: Thr, 23 May 2013
脅威度
中
概要
Olive Toast Software Ltd. が提供する Documents Pro には、クロスサイトスクリプティングの脆弱性が存在します。
詳細
Olive Toast Software Ltd. が提供する Documents Pro は、iOS 向けのドキュメントビューアです。Documents Pro には、ディレクトリ内のファイル一覧を表示する際に、ファイル名部分を適切にエスケープしていないため、Stored XSS の問題があります。
ユーザがウェブブラウザ経由で Documents Pro を使用した場合、そのウェブブラウザ上で任意のスクリプトが実行される可能性があります。
スクリーンショット
影響を受けるバージョン
Documents Pro バージョン 1.11.1 より前のバージョン
対策
App Store から最新版のアップデートを適用してください。
[ベンダ情報]
https://itunes.apple.com/us/app/documents-pro/id374142847?mt=8
発見者
山崎 圭吾(ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報セキュリティ早期警戒パートナーシップ』に従い、2010年6月に届出をおこなったものです。
http://jvn.jp/jp/JVN91881278/index.html
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000001.html
CVE番号:
CVE-2012-5184
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5184