ManageEngine ADSelfService Plus < 5.3 < ビルド 5313 の PasswordSelfServiceAPI XSS
medium Nessus プラグイン ID 91989
Language:
概要
リモートホストで実行されている Web アプリケーションは、クロスサイトスクリプティングの脆弱性の影響を受けます。説明
リモートホストで実行されている ManageEngine ADSelfService Plus アプリケーションのバージョンは、PasswordSelfServiceAPI におけるクロスサイトスクリプティング(XSS)の脆弱性の影響を受けます。これは、「PSS_OPERATION」パラメーターに対するユーザー指定の入力検証が不適切であるためです。認証されていないリモートの攻撃者が、特別に細工された URL を通じて、これを悪用して、ユーザーのブラウザセッションで任意のスクリプティングコードを実行する可能性があります。また、攻撃者が、この問題を悪用して、クッキーベースの認証証明書を漏洩する可能性もあります。ソリューション
ManageEngine ADSelfService Plus バージョン 5.3 ビルド 5313 またはそれ以降にアップグレードしてください。参考資料
https://dl.packetstormsecurity.net/1606-exploits/messp-xss.txt
プラグインの詳細
深刻度: Medium
ID: 91989
ファイル名: manageengine_adselfservice_pssapi_xss.nasl
バージョン: 1.7
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2016/7/11
更新日: 2018/11/15
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
脆弱性情報
CPE: cpe:/a:zohocorp:manageengine_adselfservice_plus
必要な KB アイテム: installed_sw/ManageEngine ADSelfService Plus
パッチ公開日: 2016/5/27
脆弱性公開日: 2016/5/29