Bugzilla < 4.0.11 / 4.2.7 / 4.4.1 複数の脆弱性
medium Nessus プラグイン ID 70720
Language:
概要
リモート Web サーバーに、複数の脆弱性の影響を受ける Web アプリケーションがあります。説明
そのバナーによると、リモートホストにインストールされているバージョンの Bugzilla は、以下の複数の脆弱性の影響を受けます:- 「process_bug.cgi」でのトークン検証の欠陥のため、クロスサイトリクエスト偽造脆弱性が存在します。注意:これの影響を受けるのはバージョン 4.4rc1 から 4.4 のみです。
(CVE-2013-1733)
- 「attachment.cgi」スクリプトで添付ファイルを更新する際の HTTP リクエストの検証における欠陥のため、クロスサイトリクエスト偽造脆弱性が存在します。注意:これは、2.16rc1 から 4.0.10、4.1.1 から 4.2.6、4.3.1 から 4.4 のバージョンに影響を与えます。(CVE-2013-1734)
- 「editflagtypes.cgi」での入力の不適切な検証により、クロスサイトスクリプティングの脆弱性が存在します。
注意:これは、2.17.1 から 4.0.10、4.1.1 から 4.2.6、4.3.1 から 4.4 のバージョンに影響を与えます。(CVE-2013-1742)
- テーブル型レポートのフィールド値へのフィルターが不適切であることにより、クロスサイトスクリプティングの脆弱性が存在します。
注意:これは、4.1.1 から 4.2.6、4.3.1 から 4.4 のバージョンに影響を与えます。
(CVE-2013-1743)
Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。
ソリューション
Bugzilla 4.0.11/4.2.7/4.4.1 以降にアップグレードしてください。参考資料
https://www.bugzilla.org/news/#release441
https://www.securityfocus.com/archive/1/529262/30/0/threaded
https://bugzilla.mozilla.org/show_bug.cgi?id=911593
https://bugzilla.mozilla.org/show_bug.cgi?id=913904
プラグインの詳細
深刻度: Medium
ID: 70720
ファイル名: bugzilla_4_4_1.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses
公開日: 2013/10/31
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: cpe:/a:mozilla:bugzilla
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Bugzilla
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/10/16
脆弱性公開日: 2013/9/1
参照情報
CVE: CVE-2013-1733, CVE-2013-1734, CVE-2013-1742, CVE-2013-1743