Tomcat サンプルアプリケーション cal2.jsp の時間パラメータ XSS (CVE-2009-0781)
medium Nessus プラグイン ID 35806
Language:
概要
リモート Web サーバーに含まれている JSP アプリケーションは、クロスサイトスクリプティング脆弱性の影響を受けます。説明
リモート Web サーバーにはサンプル JSP アプリケーション「cal2.jsp」が含まれており、これは、ユーザー入力を使って動的コンテンツを生成する前に、ユーザー入力をサニタイズできません。認証されていないリモート攻撃者はこの問題を利用することで、任意の HTML コードまたはスクリプトコードを、ユーザーのブラウザに注入し、影響を受けているサイトのセキュリティコンテキスト内で実行できることがあります。ソリューション
Tomcat のサンプル Web アプリケーションを取り除いて、ベンダーのアドバイザリで言及されている適切なパッチを適用するか、Tomcat 6.0.20/5.5.28/4.1.40 にアップグレードしてください。参考資料
https://www.securityfocus.com/archive/1/501538/30/0/threaded
http://tomcat.apache.org/security-6.html
プラグインの詳細
深刻度: Medium
ID: 35806
ファイル名: tomcat_sample_cal2_xss2.nasl
バージョン: 1.22
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2009/3/9
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS v3
リスクファクター: Medium
基本値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
脆弱性情報
CPE: cpe:/a:apache:tomcat
必要な KB アイテム: installed_sw/Apache Tomcat
除外される KB アイテム: Settings/disable_cgi_scanning
パッチ公開日: 2009/3/6
参照情報
CVE: CVE-2009-0781
CWE: 79