Fortinet FortiMail < 4.3.4/5.0.0 複数の XSS
medium Nessus プラグイン ID 73524
Language:
概要
複数のクロスサイトスクリプティングの脆弱性で、リモートホストが影響を受けます。説明
リモートホストは、4.3.4/5.0.0 より前の FortiMail を実行しています。このため、Web UI でユーザー指定の入力がサニタイズされないため、複数のクロスサイトスクリプティングの脆弱性による影響を受けます。具体的には、「/admin/FEAdmin.html」スクリプトの「ipmask」、「username」、「address」、および「url」のパラメーター、ならびに「/admin/FEAdmin.htm」スクリプトの「SysInterfaceCollection」、「PersonalBlackWhiteList」、「SystemBlackWhiteList」、および「AsBounceverifyKeyCollection」のパラメーターに欠陥が存在します。
攻撃者が、この脆弱性を悪用して、エンドユーザーのブラウザに関連して、任意の JavaScript を実行する可能性があります。
ソリューション
Fortinet FortiMail 4.3.4/5.0.0 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 73524
ファイル名: fortimail_FG-IR-013-001.nasl
バージョン: 1.8
タイプ: local
ファミリー: CGI abuses : XSS
公開日: 2014/4/15
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:fortinet:fortimail
必要な KB アイテム: Host/Fortigate/model, Host/Fortigate/version
エクスプロイトが利用可能: true
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2012/12/12
脆弱性公開日: 2013/1/29
参照情報
CVE: CVE-2013-1471
BID: 57601