ManageEngine ADSelfService Plus < 5.3 < ビルド 5313 の PasswordSelfServiceAPI XSS

medium Nessus プラグイン ID 91989

概要

リモートホストで実行されている Web アプリケーションは、クロスサイトスクリプティングの脆弱性の影響を受けます。

説明

リモートホストで実行されている ManageEngine ADSelfService Plus アプリケーションのバージョンは、PasswordSelfServiceAPI におけるクロスサイトスクリプティング(XSS)の脆弱性の影響を受けます。これは、「PSS_OPERATION」パラメーターに対するユーザー指定の入力検証が不適切であるためです。認証されていないリモートの攻撃者が、特別に細工された URL を通じて、これを悪用して、ユーザーのブラウザセッションで任意のスクリプティングコードを実行する可能性があります。また、攻撃者が、この問題を悪用して、クッキーベースの認証証明書を漏洩する可能性もあります。

ソリューション

ManageEngine ADSelfService Plus バージョン 5.3 ビルド 5313 またはそれ以降にアップグレードしてください。

関連情報

https://dl.packetstormsecurity.net/1606-exploits/messp-xss.txt

http://www.nessus.org/u?e58390f0

プラグインの詳細

深刻度: Medium

ID: 91989

ファイル名: manageengine_adselfservice_pssapi_xss.nasl

バージョン: 1.7

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2016/7/11

更新日: 2018/11/15

リスク情報

CVSS v2

リスクファクター: Medium

Base Score: 5.8

Temporal Score: 5

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:N

現状ベクトル: E:H/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:zohocorp:manageengine_adselfservice_plus

必要な KB アイテム: installed_sw/ManageEngine ADSelfService Plus

パッチ公開日: 2016/5/27

脆弱性公開日: 2016/5/29