MODx < 2.0.3-pl modahshパラメーターにおけるXSS
low Nessus プラグイン ID 56565
Language:
概要
リモートWebサーバーに、折り返し型クロスサイトスクリプティング攻撃に脆弱なPHPスクリプトが含まれています。説明
リモートの Web サーバーでホストされている MODx のバージョンは、「manager/index.php」スクリプトの「modahsh」パラメーターを、動的 HTML の生成のために使用する前に、サニタイズすることができません。攻撃者は、この問題を利用して、ユーザーを騙して、特殊に細工されたリンクをクリックさせることにより、影響を受けるサイトのセキュリティコンテキスト内で実行されるように、ユーザーのブラウザに任意のHTMLやスクリプトコードを注入できます。
ソリューション
MODx 2.0.3以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Low
ID: 56565
ファイル名: modx_202_xss.nasl
バージョン: 1.12
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2011/10/20
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 2.3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:modxcms:modxcms
必要な KB アイテム: www/PHP, www/modx
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2010/9/30
脆弱性公開日: 2010/9/28
エクスプロイト可能
Elliot (MODx Revolution 2.0.2-pl LFI)
参照情報
CVE: CVE-2010-4883
BID: 43577