A stored and reflected cross-site scripting (XSS) vulnerability in WiKID 2FA Enterprise Server through 4.2.0-b2047 allow remote attackers to inject arbitrary web script or HTML via /WiKIDAdmin/adm_usrs.jsp. The usr parameter is vulnerable: the reflected cross-site scripting occurs immediately after the user is created. The malicious script is stored and will be executed whenever /WiKIDAdmin/adm_usrs.jsp is visited.
総合評価: CVE-2019-17120 は悪用リスクが高い(77.2/100)。CVSS 深刻度は中。悪用される可能性が高い(EPSS 49.95%、99 パーセンタイル) 根拠: 公開エクスプロイトが 3 件参照されています(Exploit-DB)。 直近 1 日で EPSS が +3.26% 上昇。悪用への関心が高まっている可能性があります。 推奨対応: 公開エクスプロイトが確認されています。影響範囲の確認、緩和策の適用、パッチ適用を優先してください。
リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。
| EDB-ID | ソース | 種別 | 公開 | リンク |
|---|---|---|---|---|
| — | nvd_ref | exploit_tag | Exploit-DB ↗ | |
| — | nvd_ref | exploit_tag | Exploit-DB ↗ | |
| — | nvd_ref | exploit_tag | Exploit-DB ↗ |
EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。
| # | 日付 | 旧 EPSS スコア | 新 EPSS スコア | Δ(新 − 旧) |
|---|---|---|---|---|
| 1 | 2026-06-20 | 46.70% | 49.95% | +3.26% |
| 2 | 2026-06-15 | 6.02% | 46.70% | +40.68% |
| 3 | 2025-11-21 | — | 6.02% | — |
EPSS の全履歴 (全 19 件)
この CVE の CVSS 指標。
| ベーススコア | バージョン | 深刻度 | ベクトル | 悪用しやすさ | 影響 | スコアの出典 |
|---|---|---|---|---|---|---|
| 6.1 | 3.1 | MEDIUM |
|
2.8 | 2.7 | [email protected] |
| 4.3 | 2.0 | MEDIUM |
|
8.6 | 2.9 | [email protected] |
| ベンダー | 製品 | バージョン | 生の CPE |
|---|---|---|---|
| wikidsystems | 2fa_enterprise_server | 3.4.81 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.81:b676:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.4.85 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.85:b780:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.4.87 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.87:b1092:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.4.87 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.87:b1159:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.4.87 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.87:b1169:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.4.87 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.87:b1216:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.4.87 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.87:b824:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.4.87 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.4.87:b839:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1342:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1352:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1359:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1373:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1403:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1411:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1421:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1428:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1438:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1472:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1542:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.5.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.5.0:b1580:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.6.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.6.0:b1659:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 3.6.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:3.6.0:b1672:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0:b1787:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0:b1798:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0:b1803:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0.1 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0.1:b1817:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0.1 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0.1:b1821:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0.1 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0.1:b1905:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0.1 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0.1:b1906:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0.2 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0.2:b1917:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.0.2 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.0.2:b1921:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.1.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.1.0:b1926:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.1.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.1.0:b1941:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.1.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.1.0:b1949:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.1.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.1.0:b1955:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b1978:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b1981:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b1984:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2007:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2014:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2016:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2020:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2023:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2028:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2032:*:*:*:*:*:* |
| wikidsystems | 2fa_enterprise_server | 4.2.0 | cpe:2.3:a:wikidsystems:2fa_enterprise_server:4.2.0:b2047:*:*:*:*:*:* |
| URL | タグ |
|---|---|
| http://packetstormsecurity.com/files/154912/WiKID-Systems-2FA-Enterprise-Server-4.2.0-b2032-SQL-Injection-XSS-CSRF.html | Exploit Third Party Advisory VDB Entry |
| http://seclists.org/fulldisclosure/2019/Oct/35 | Exploit Mailing List Third Party Advisory |
| https://www.securitymetrics.com/blog/wikid-2fa-enterprise-server-cross-site-scripting | Exploit Third Party Advisory |