FastCGI 複数サンプル CGI XSS
medium Nessus プラグイン ID 10838
Language:
概要
リモート Web サーバーは、クロスサイトスクリプティング攻撃を受けやすくなっています。説明
FastCGI に付属する 2 つのサンプル CGI は、クロスサイトスクリプティング攻撃に対して脆弱です。FastCGI は、「サーバー固有の API の制限なしに高いパフォーマンスを提供する CGI のオープンエクステンション」であり、「アンブレイカブル」Oracle9i アプリケーションサーバーのデフォルトのインストールに含まれています。他のさまざまな Web サーバーは、FastCGI 拡張(Zeus、Pi3Web など)をサポートします。2 つのサンプル CGI は、FastCGI と一緒にインストールされます(Windows での echo.exe および echo2.exe、Unix での echo および echo2)。これらの CGI はいずれも、さまざまなアプリケーションに対する環境変数と PATH 情報のリストを出力します。提供されたパラメータも表示します。
ソリューション
運用サーバーからサンプルアプリケーションを必ず削除してください。プラグインの詳細
深刻度: Medium
ID: 10838
ファイル名: fcgi_echo.nasl
バージョン: 1.34
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2002/1/25
更新日: 2021/1/19
設定: パラノイドモードの有効化
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
必要な KB アイテム: Settings/ParanoidReport
除外される KB アイテム: Settings/disable_cgi_scanning
脆弱性公開日: 2002/1/1