Synology DiskStation Manager < 4.3-3776 Update 3 info.cgi 複数のパラメーター XSS

medium Nessus プラグイン ID 72344

概要

リモートの Synology DiskStation Manager は、クロスサイトスクリプティングの脆弱性による影響を受けます。

説明

バージョン番号によると、リモートホストにインストールされているSynology DiskStation Managerは、 4.3-3776 Update 3より前のバージョンです。したがって、「info.cgi」スクリプトの「host」、「target」、および「add」のパラメーターに対するユーザー指定入力の不適切なサニタイズにより、クロスサイトスクリプティングの脆弱性による影響を受ける可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

4.3-3776 Update 3 以降にアップグレードするか、ベンダーに問い合わせてください。

参考資料

https://seclists.org/fulldisclosure/2013/Sep/53

プラグインの詳細

深刻度: Medium

ID: 72344

ファイル名: synology_dsm_4_3_3776_3.nasl

バージョン: 1.7

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2014/2/5

更新日: 2021/1/19

サポートされているセンサー: Nessus

脆弱性情報

CPE: cpe:/a:synology:diskstation_manager

必要な KB アイテム: www/synology_dsm

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/9/26

脆弱性公開日: 2013/9/10

参照情報

BID: 62310

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990