Atlassian FishEye Code Metrics Report Plugin の XSS

medium Nessus プラグイン ID 50450

概要

リモート Web サーバーにクロスサイトスクリプティング脆弱性があります。

説明

リモートホストで実行中の Atlassian FishEye のバージョンに、クロスサイトスクリプティングの脆弱性があります。Code Metrics Report Plugin は、ユーザー入力を適切にサニタイズしていません。

リモートの攻撃者は、ユーザーをトリックにかけて悪意を持って作り上げられたリクエストを作成させて、この問題を悪用して任意のスクリプトコードを実行することがあります。

FishEye のこのバージョンには、さらに別のクロスサイトスクリプティングの脆弱性がある場合がありますが、Nessus はその問題をチェックしませんでした。

ソリューション

FishEye を 2.3.7/2.4 またはそれ以降にアップグレードしてください。

参考資料

https://jira.atlassian.com/browse/CRUC-4572

http://www.nessus.org/u?b4b48258

プラグインの詳細

深刻度: Medium

ID: 50450

ファイル名: fisheye_code_metrics_xss.nasl

バージョン: 1.17

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2010/11/2

更新日: 2025/5/14

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

Enable CGI Scanning: true

脆弱性情報

CPE: cpe:/a:atlassian:fisheye

必要な KB アイテム: installed_sw/fisheye

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/10/20

脆弱性公開日: 2010/10/20

参照情報

BID: 44264

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990