検出

Microsoft Lync Server 2010のreachLocaleパラメーターのXSS

medium Nessus プラグイン ID 68880

Language:

概要

リモートホストのWebアプリケーションに、クロスサイトスクリプティング脆弱性があります。

説明

自己報告されたバージョン番号によると、このバージョンのWeb Components Server(Microsoft Lync 2010のコンポーネント)には、クロスサイトスクリプティングの脆弱性があります。ReachJoin.aspxの「reachLocale」パラメーターへ渡された入力が、適切にサニタイズされていません。攻撃者がこれを悪用して、ユーザーを騙して特別に細工されたURLをリクエストさせ、任意のスクリプトコードの実行を引き起こす可能性があります。

ソリューション

Lync Server 2010、Web Components Serverの2011年4月の更新(KB2500441)以降をインストールしてください。

参考資料

http://foofus.net/?p=363

http://foofus.net/?page_id=372

https://support.microsoft.com/en-us/help/2500441/description-of-the-update-package-for-lync-server-2010-web-components

プラグインの詳細

深刻度: Medium

ID: 68880

ファイル名: microsoft_lync_server_april_2011.nasl

バージョン: 1.8

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2013/7/14

更新日: 2021/6/3

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.6

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: cpe:/a:microsoft:lync_server:2010

必要な KB アイテム: installed_sw/Microsft Lync

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2011/6/10

脆弱性公開日: 2011/6/10

参照情報

BID: 48235

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990

IAVB: 2011-B-0074-S