自己報告されたバージョン番号によると、YUI は少なくとも 2.4.0 および 2.8.2 より前です。したがって、YUI .swf ファイルによるクロスサイトスクリプティングの脆弱性の影響を受ける可能性があります。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

YUI のセキュリティ脆弱性が修正されます。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

Bugzilla で、次のセキュリティの問題を発見しました：

- ヘッダーとコンテンツの両方をユーザーに注入する方法があり、これによって深刻なクロスサイトスクリプティング脆弱性が引き起こされます。

- 特定の製品に対するアクセス権がない場合でも Old Chart からグラフを表示することができ、特定の URL を参照して全ての製品名を表示できました。

- 3.7.x からの Bugzilla に同梱されている YUI 2.8.1 にセキュリティ脆弱性が含まれていました。Bugzilla 4.0rc1 およびこれ以上に同梱される YUI のバージョンは、2.8.2 に更新されています。

これらは CVE-2010-3764 によって追跡されます。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

この moodle の更新により以下のものが修正されます：

- CVE-2010-4207：CVSS v2 ベーススコア：4.3（重要度中）（AV：N/AC：M/Au：N/C：N/I：P/A：N）：クロスサイトスクリプティング（XSS）（CWE-79）YUI の Flash コンポーネントインフラストラクチャの中のクロスサイトスクリプティングの脆弱性のために、リモートの攻撃者が charts/assets/charts.swf を介して、任意の Web スクリプトまたは HTML を注入する可能性があります。

- CVE-2010-4208：CVSS v2 ベーススコア：4.3（重要度中）（AV：N/AC：M/Au：N/C：N/I：P/A：N）：クロスサイトスクリプティング（XSS）（CWE-79）YUI の Flash コンポーネントインフラストラクチャの中のクロスサイトスクリプティングの脆弱性のために、リモートの攻撃者が uploader/assets/uploader.swf を介して、任意の Web スクリプトまたは HTML を注入する可能性があります。

- CVE-2010-4209：CVSS v2 ベーススコア：4.3（重要度中）（AV：N/AC：M/Au：N/C：N/I：P/A：N）：クロスサイトスクリプティング（XSS）（CWE-79）YUI の Flash コンポーネントインフラストラクチャの中のクロスサイトスクリプティングの脆弱性のために、リモートの攻撃者が swfstore/swfstore.swf を介して、任意の Web スクリプトまたは HTML を注入する可能性があります。

YUI チームによる報告：

YUI 2.4.0 リリースで始まる YUI 2 Flash コンポーネントインフラストラクチャで、セキュリティ関連の不具合が導入されました。この欠陥により、影響を受ける YUI .swf ファイルをホストするドメインに対して、JavaScript インジェクションの悪用を作成できます。

リモート Web サーバーにホストされている JavaScript ユーティリティおよびコントロールの YUI ライブラリのバージョンは、詳細不明のクロスサイトスクリプティング脆弱性に影響を受ける SWF ファイルを少なくとも 1 つは含んでいます。

攻撃者はこの問題を利用して、任意の HTML またはスクリプトコードをユーザーのブラウザに注入し、影響を受けるサイトのセキュリティコンテキスト内で実行することがあります。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
112411	YUI 2.4.0 < 2.8.2 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	medium
50588	Fedora 13：moodle-1.9.10-1.fc13（2010-16782）	Nessus	Fedora Local Security Checks	2010/11/15	2021/1/11	medium
50587	Fedora 14：moodle-1.9.10-1.fc14（2010-16764）	Nessus	Fedora Local Security Checks	2010/11/15	2021/1/11	medium
50594	Fedora 12：bugzilla-3.4.9-1.fc12（2010-17235）	Nessus	Fedora Local Security Checks	2010/11/15	2021/1/11	medium
53681	openSUSE セキュリティ更新：moodle（openSUSE-SU-2010:0937-1）	Nessus	SuSE Local Security Checks	2011/5/5	2021/1/14	medium
51194	FreeBSD：YUI JavaScript ライブラリ -- JavaScript インジェクションによる Flash コンポーネントの悪用（d560b346-08a2-11e0-bcca-0050568452ac）	Nessus	FreeBSD Local Security Checks	2010/12/16	2021/1/6	medium
50495	YUI charts.swf / swfstore.swf / uploader.swf における XSS	Nessus	CGI abuses : XSS	2010/11/5	2022/4/11	medium
50589	Fedora 12：moodle-1.9.10-1.fc12（2010-16845）	Nessus	Fedora Local Security Checks	2010/11/15	2021/1/11	medium
50595	Fedora 14：bugzilla-3.6.3-1.fc14（2010-17274）	Nessus	Fedora Local Security Checks	2010/11/15	2021/1/11	medium
50596	Fedora 13：bugzilla-3.4.9-1.fc13（2010-17280）	Nessus	Fedora Local Security Checks	2010/11/15	2021/1/11	medium

検出

プラグインの検索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium