ManageEngine Firewall Analyzer の複数の XSS
medium Nessus プラグイン ID 90445
Language:
概要
リモート Web サーバーは、複数のクロスサイトスクリプティング脆弱性の影響を受けるアプリケーションをホストしています。説明
リモートの Web サーバーで実行されている ManageEngine Firewall Analyzer は、ユーザー指定入力の検証が不適切なために、複数のクロスサイトスクリプティング(XSS)の脆弱性の影響を受けています。リモートの攻撃者がこれらの脆弱性を悪用して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。XSS の脆弱性が以下のスクリプトに存在します:- /addDevCrd.nms
- /createAnomaly.nms
- /createProfile.do
- /customizeReportAction.nms
- /fw/addbookmark.do
- /fw/createProfile.do
- /fw/editUserFormPage.do
- /fw/graphs
- /fw/index2.do
- /fw/mindex.do
- /fw/reportFilter.do
- /fw/ResolveDNSConfig.nms
- /ResolveDNSConfig.nms
- /searchAction.do
- /uniquereport.do
- /userIPConfig.nms
- /viewListPageAction.nms
注意:Nessus では、viewListPageAction.nms スクリプトの XSS 脆弱性悪用だけを試しました。また、SQL インジェクションの脆弱性も存在しますが、Nessus ではこの脆弱性はテストしていません。
ソリューション
ManageEngine Firewall Analyzer バージョン 12.0 にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 90445
ファイル名: manageengine_firewall_analyzer_pre12_multiple_xss.nasl
バージョン: 1.5
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2016/4/13
更新日: 2018/8/8
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: x-cpe:/a:zohocorp:manageengine_firewall_analyzer
必要な KB アイテム: installed_sw/ManageEngine Firewall Analyzer
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
Nessus によりエクスプロイト済み: true
パッチ公開日: 2016/2/23
脆弱性公開日: 2016/2/19