ManageEngine Firewall Analyzer の複数の XSS

medium Nessus プラグイン ID 90445

概要

リモート Web サーバーは、複数のクロスサイトスクリプティング脆弱性の影響を受けるアプリケーションをホストしています。

説明

リモートの Web サーバーで実行されている ManageEngine Firewall Analyzer は、ユーザー指定入力の検証が不適切なために、複数のクロスサイトスクリプティング(XSS)の脆弱性の影響を受けています。リモートの攻撃者がこれらの脆弱性を悪用して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。XSS の脆弱性が以下のスクリプトに存在します:

- /addDevCrd.nms
- /createAnomaly.nms
- /createProfile.do
- /customizeReportAction.nms
- /fw/addbookmark.do
- /fw/createProfile.do
- /fw/editUserFormPage.do
- /fw/graphs
- /fw/index2.do
- /fw/mindex.do
- /fw/reportFilter.do
- /fw/ResolveDNSConfig.nms
- /ResolveDNSConfig.nms
- /searchAction.do
- /uniquereport.do
- /userIPConfig.nms
- /viewListPageAction.nms

注意:Nessus では、viewListPageAction.nms スクリプトの XSS 脆弱性悪用だけを試しました。また、SQL インジェクションの脆弱性も存在しますが、Nessus ではこの脆弱性はテストしていません。

ソリューション

ManageEngine Firewall Analyzer バージョン 12.0 にアップグレードしてください。

関連情報

http://www.nessus.org/u?1e40ddf8

プラグインの詳細

深刻度: Medium

ID: 90445

ファイル名: manageengine_firewall_analyzer_pre12_multiple_xss.nasl

バージョン: 1.5

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2016/4/13

更新日: 2018/8/8

リスク情報

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.7

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

現状ベクトル: E:H/RL:OF/RC:C

脆弱性情報

CPE: x-cpe:/a:zohocorp:manageengine_firewall_analyzer

必要な KB アイテム: installed_sw/ManageEngine Firewall Analyzer

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

Nessus によりエクスプロイト済み: true

パッチ公開日: 2016/2/23

脆弱性公開日: 2016/2/19

参照情報

EDB-ID: 39477