mvnForum activatememberの複数パラメーターのXSS
low Nessus プラグイン ID 21757
Language:
概要
リモートWebサーバーには、複数のクロスサイトスクリプティング問題の影響を受けたJavaアプリケーションが含まれます。説明
リモートホストが、Java J2EEベースのオープンソースのフォーラムアプリケーションであるmvnForumを実行しています。リモートホストにインストールされているmvnForumのバージョンは、動的Webコンテンツを生成するために使用する前に、「activatemember」スクリプトの「activatecode」および「member」パラメーターへのユーザー指定入力をサニタイズできません。この問題の悪用に成功すると、影響を受けるアプリケーションのコンテキスト内のユーザーのブラウザで任意のHTMLおよびスクリプトコードが実行される可能性があります。
ソリューション
現時点では不明です。参考資料
プラグインの詳細
深刻度: Low
ID: 21757
ファイル名: mvnforum_activatemember_xss.nasl
バージョン: 1.21
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2006/6/27
更新日: 2022/4/7
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 2.3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:mvnforum:mvnforum
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No exploit is required
脆弱性公開日: 2006/6/24
参照情報
CVE: CVE-2006-3245
BID: 18663