Google Mini Search Applianceの検索スクリプトでの「ie」パラメーターのXSS
medium Nessus プラグイン ID 26196
Language:
概要
リモートWebサーバーは、クロスサイトスクリプティング脆弱性の影響を受けます。説明
リモートGoogle検索アプライアンス/ミニ検索アプライアンスが、検索インターフェイスで使用される「ie」パラメーターに対するユーザー指定の入力をサニタイズできません。未認証のリモートの攻撃者がこの問題を利用して、任意のHTMLまたはスクリプトコードをユーザーのブラウザに注入し、影響を受けるサイトのセキュリティコンテキスト内で実行できる可能性があります。ソリューション
上記のベンダーアドバイザリで参照されている修正を適用してください。参考資料
http://www.nessus.org/u?1286e4b0
プラグインの詳細
深刻度: Medium
ID: 26196
ファイル名: google_search_appliance_ie_xss.nasl
バージョン: 1.22
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2007/10/2
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/h:google:search_appliance, cpe:/h:google:mini_search_appliance
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2007/10/1
脆弱性公開日: 2007/9/21
参照情報
CVE: CVE-2007-5255
BID: 25894
CWE: 79