MS12-007: AntiXSS ライブラリの情報漏洩可能な脆弱性(2607664)(uncredentialed check)。

medium Nessus プラグイン ID 57572

概要

リモート Web サーバーは、情報漏洩の脆弱性の影響を受けるライブラリを使用します。

説明

リモートの Web サーバーは、情報漏洩の脆弱性の影響を受けるバージョンの Microsoft Anti-Cross サイトスクリプティングライブラリ(AntiXSS)を使用しているように思われます。

攻撃者は、Anti-Cross サイトスクリプティングライブラリのサニタイズ機能を使用している Web サイト に、悪意あるスクリプトを受け渡した場合には、機密情報にアクセスする可能性があります。

注意:このプラグインには脆弱性が存在することを、クエリの文字列からパラメーターがエコーバックされること、それを「AntiXSS.encodeHtml()」を通して実行することによって決定されました。

ソリューション

Microsoft は AntiXSS ライブラリの新バージョンをリリースしています。

参考資料

https://www.securityfocus.com/archive/1/521307/30/0/threaded

https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2012/ms12-007

プラグインの詳細

深刻度: Medium

ID: 57572

ファイル名: http_ms12-007.nbin

バージョン: 1.95

タイプ: remote

ファミリー: CGI abuses

公開日: 2012/1/17

更新日: 2024/5/20

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.2

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 4.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: cpe:/o:microsoft:windows

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/1/10

脆弱性公開日: 2012/1/10

参照情報

CVE: CVE-2012-0007

BID: 51291

IAVB: 2012-B-0003

MSFT: MS12-007

MSKB: 2607664