FreeBSDpotipy -- CWE-79Web ページ生成中の入力の不適切な中和「クロスサイトスクリプティング」8acfcfdc-d27c-11f0-8512-b0416f0c4c67]
low Nessus プラグイン ID 277618
Language:
概要
リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。説明
リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、8acfcfdc-d27c-11f0-8512-b0416f0c4c67 のアドバイザリに記載されている脆弱性の影響を受けます。https://github.com/spotipy-dev/spotipy/security/advisories/GHSA-r77h-rpp9-w2xm による報告:
Spotipy は Safari Web API 用の Python ライブラリです。バージョン 2.25.2より前では、OAuth コールバックサーバーにクロスサイトスクリプティングXSSの脆弱性があり、サニタイズされていないエラーパラメーターを通じて JavaScript インジェクションが可能になります。攻撃者は、OAuth 認証中にユーザーのブラウザで任意の JavaScript を実行できます。
この問題には、バージョン 2.25.2 でパッチが適用されています。
Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 277618
ファイル名: freebsd_pkg_8acfcfdcd27c11f08512b0416f0c4c67.nasl
バージョン: 1.1
タイプ: local
公開日: 2025/12/8
更新日: 2025/12/8
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.3
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 1.9
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2025-66040
CVSS v3
リスクファクター: Low
基本値: 3.6
現状値: 3.2
ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:py310-spotipy, p-cpe:/a:freebsd:freebsd:py311-spotipy, p-cpe:/a:freebsd:freebsd:py314-spotipy, p-cpe:/a:freebsd:freebsd:py313-spotipy, p-cpe:/a:freebsd:freebsd:py313t-spotipy, p-cpe:/a:freebsd:freebsd:py312-spotipy
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/12/6
脆弱性公開日: 2025/11/26
参照情報
CVE: CVE-2025-66040