ManageEngine OpStor availability730.do days Parameter XSS
medium Nessus プラグイン ID 62784
Language:
概要
リモートホストの Web アプリケーションが、クロスサイトスクリプティング脆弱性の影響を受けます。説明
インストールされている リモート ManageEngine OpStor は、クロスサイトスクリプティングの脆弱性に影響を受けます。アプリケーションは「availability730.do」スクリプト上の「days」パラメーターを適切にサニタイズしていません。リモートの攻撃者がこれを悪用して、ユーザーを騙し、悪意を持って細工された URL をリクエストさせる可能性があります。悪用により、攻撃者がクッキーベースの認証情報を盗む可能性もあります。
アプリケーションは「availability730.do」スクリプトの「name」パラメーターが関与する SQL インジェクション攻撃およびクロスサイトスクリプティング攻撃の影響を受けやすいことも報告されていますが、Nessus はそれらの問題を確認していません。
ソリューション
現在、ベンダーから利用可能なパッチは出ていません。参考資料
プラグインの詳細
深刻度: Medium
ID: 62784
ファイル名: manageengine_opstor_availability730_xss.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2012/11/1
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.6
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:zohocorp:manageengine_opstor
必要な KB アイテム: www/manageengine_opstor
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
Nessus によりエクスプロイト済み: true
脆弱性公開日: 2012/8/17
参照情報
BID: 55070