検出

FreeBSD:bugzilla のクロスサイトリクエスト偽造(7f448dc1-82ca-11e1-b393-20cf30e32f6d)

medium Nessus プラグイン ID 58647

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Bugzilla セキュリティアドバイザリによる報告:

Bugzilla で、次のセキュリティの問題を発見しました:

- enctype フォーム属性の検証の欠落により、POST リクエストを xmlrpc.cgi に対して行うときの潜在的な CSRF の脆弱性が発見されました。ユーザーが何らかの悪意のある HTML コードが埋め込まれた HTML ページにアクセスした場合、攻撃者が、mod_perl を実行するサイト上で XML-RPC API を使用することで、被害者のアカウントに代わってリモートの Bugzilla インストールに変更を加える可能性があります。mod_cgi の下で実行するサイトは影響を受けません。また、この脆弱性を機能させるためには、ユーザーがターゲットサイトにすでにログインしている必要があります。

すべての影響を受けるインストールは、ただちにアップグレードすることが推奨されています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.mozilla.org/show_bug.cgi?id=725663

http://www.nessus.org/u?8980267b

プラグインの詳細

深刻度: Medium

ID: 58647

ファイル名: freebsd_pkg_7f448dc182ca11e1b39320cf30e32f6d.nasl

バージョン: 1.6

タイプ: local

公開日: 2012/4/10

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 5.1

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:bugzilla, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2012/4/10

脆弱性公開日: 2012/2/22

参照情報

CVE: CVE-2012-0453