Advanced Guestbook User-AgentヘッダーHTMLインジェクション
medium Nessus プラグイン ID 19308
Language:
概要
リモートWebサーバーに、クロスサイトスクリプティング問題に脆弱なPHPスクリプトが含まれています。説明
リモートホストは、PHPで書かれた無料のゲストブックのAdvanced Guestbookを実行しています。インストールされているバージョンのAdvanced Guestbookは、動的に生成されるコンテンツで使用する前に、「HTTP_USER_AGENT」環境変数を適切にサニタイズできません。攻撃者がこの欠陥を悪用し、影響を受けるアプリケーションに対してクロスサイトスクリプティング攻撃を仕掛ける可能性があります。
ソリューション
Advanced Guestbookバージョン2.3.3以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 19308
ファイル名: advanced_guestbook_user_agent_xss.nasl
バージョン: 1.29
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2005/7/27
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
必要な KB アイテム: www/PHP
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトが利用可能: true
エクスプロイトの容易さ: No exploit is required
脆弱性公開日: 2005/7/26
参照情報
BID: 14391