ManageEngine AssetExplorer < 6.1.0 ビルド 6113 複数の XSS

low Nessus プラグイン ID 86804

概要

リモート Web サーバーは、複数のクロスサイトスクリプティング脆弱性の影響を受けます。

説明

リモートホストで実行している ManageEngine AssetExplorer のバージョンが、 6.1.0 ビルド 6113 以前です。このため、複数のクロスサイトスクリプティング(XSS)の脆弱性の影響を受けます。

- ユーザーに返す前の Publisher 名の入力検証が不適切なために、クロスサイトスクリプティングの脆弱性が存在します。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2015-2169)

- ユーザーに返す前の「organizationName」POST パラメーターの入力検証が不適切なために、VendorDef.do スクリプトにクロスサイトスクリプティングの脆弱性が存在します。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2015-5061)

ソリューション

バージョン 6.1.0 ビルド 6113 またはそれ以降に、 ManageEngine AssetExplorer をアップグレードしてください。

参考資料

http://www.nessus.org/u?4e82c118

プラグインの詳細

深刻度: Low

ID: 86804

ファイル名: manageengine_assetexplorer_6113.nasl

バージョン: 1.8

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2015/11/9

更新日: 2022/3/18

サポートされているセンサー: Nessus

リスク情報

CVSS スコアの根本的理由: Score based on an in-depth analysis of the vulnerabilities.

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.7

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: manual

CVSS v3

リスクファクター: Low

Base Score: 3.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N

脆弱性情報

CPE: cpe:/a:zoho:manageengine_assetexplorer

必要な KB アイテム: installed_sw/ManageEngine AssetExplorer

エクスプロイトが利用可能: true

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2015/9/23

脆弱性公開日: 2015/6/22

参照情報

CVE: CVE-2015-2169, CVE-2015-5061

BID: 75389, 75411