Bugzilla < 3.6.13 / 4.0.10 / 4.2.5 / 4.4rc2 複数の脆弱性
medium Nessus プラグイン ID 64878
Language:
概要
リモートの Web サーバーに、複数の脆弱性がある CGI アプリケーションが含まれています。説明
そのバナーによると、リモートホストにインストールされているバージョンの Bugzilla は、以下の複数の脆弱性の影響を受けます:- 「show_bug.cgi」スクリプトの送信時の「id」パラメーターの検証の欠陥による、クロスサイトスクリプティングの脆弱性が存在します。攻撃者が、これを利用して、任意の HTML およびスクリプトコードをユーザーのブラウザに注入し、影響を受けるサイトのセキュリティコンテキストで実行する可能性があります。注意:これは、2.0 ~ 3.6.12、3.7.1 ~ 4.0.9、4.1.1 ~ 4.2.4、および 4.3.1 ~ 4.4rc1 のバージョンに影響を与えます。
(CVE-2013-0785)
- デバッグモードでクエリを実行するときに、情報漏洩の問題が存在します。これは、データ収集で使用される SQL クエリの表示につながる可能性があります。表示される SQL クエリで機密情報が漏洩する可能性があります。 注意:これは、2.17.1 ~ 3.6.12、3.7.1 ~ 4.0.9 のバージョンに影響を与えます。(CVE-2013-0786)
Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。
ソリューション
Bugzilla 3.6.13 / 4.0.10 / 4.2.5 / 4.4rc2 または以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 64878
ファイル名: bugzilla_3_6_13.nasl
バージョン: 1.13
タイプ: remote
ファミリー: CGI abuses
公開日: 2013/2/25
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.0
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2013-0786
脆弱性情報
CPE: cpe:/a:mozilla:bugzilla
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Bugzilla
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/2/19
脆弱性公開日: 2012/12/23
参照情報
CVE: CVE-2013-0785, CVE-2013-0786