検出

FreeBSD:foswiki -- チェックされていないユーザー登録フィールドによるスクリプトの挿入の脆弱性(495b46fd-a30f-11e1-82c9-d0df9acfd7e5)

low Nessus プラグイン ID 59206

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Foswiki チームによる報告:

新しいユーザーが登録されると、新しいユーザーは任意の HTML とスクリプトコードを、ユーザートピックスに追加できます。このユーザートピックスは、「FirstName」または「OrganisationName」などの標準登録フィールドを介して、RegistrationAgent により生成されます。

デザインによると、Foswiki の標準編集機能により、スクリプトコードを含む任意の HTML マークアップが任意のトピックスに任意の方法で挿入されます。この際、多くの Foswiki サイトの場合のように、認証されたユーザーは、CHANGE 権限があると見なされます。しかし、CHANGE 権限のある認証されたユーザーのみが、スクリプトコンテンツを作成できるという前提は、新しいユーザーがこのアラートで説明されている脆弱性を悪用し、登録エージェントがそれらのコンテンツを作成するように操作する場合には、正しくありません。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://foswiki.org/Support/SecurityAlert-CVE-2012-1004

http://www.nessus.org/u?4bdc019d

プラグインの詳細

深刻度: Low

ID: 59206

ファイル名: freebsd_pkg_495b46fda30f11e182c9d0df9acfd7e5.nasl

バージョン: 1.6

タイプ: local

公開日: 2012/5/21

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Low

基本値: 2.1

ベクトル: CVSS2#AV:N/AC:H/Au:S/C:N/I:P/A:N

脆弱性情報

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:foswiki

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2012/5/21

脆弱性公開日: 2012/4/13

参照情報

CVE: CVE-2012-1004