概要
SVXportalバージョン2.5およびそれ以前には、log.phpのsearchクエリパラメータを介してリフレクト型クロスサイトスクリプティングの脆弱性があります。アプリケーションは無検証のパラメータ値をHTMLのinput要素のvalue属性に直接埋め込んでいるため、未認証のリモート攻撃者が細工されたURLを被害者に訪問させることで任意のJavaScriptを注入・実行できます。これにより、攻撃者はセッションデータを窃取したり、被害者として操作を実行したり、表示内容を変更したりできます。
技術情報
- 公開日: 2026-02-25T12:42:30+09:00
- 更新日: 2026-02-25T12:42:30+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
