Sitefinity 8.1.x < 8.1.5860.0 の複数の脆弱性

high Web App Scanning プラグイン ID 112511

概要

Sitefinity 8.1.x < 8.1.5860.0 の複数の脆弱性

説明

リモートホストにインストールされている Sitefinity のバージョンは、次の複数の脆弱性の影響を受けています。

-Telerik.ReportViewerのXSSの脆弱性は、バージョン 4.2 から 11.0 に影響します (CVE-2017-9140)

- Identity Server の XSS の脆弱性は、バージョン 10.0 ~ 11.0 に影響します (CVE-2018-17053、CVE-2018-17054)

- Service Stack の XSS の脆弱性は、バージョン 10.2 ~ 11.0 に影響します (CVE-2018-17056)

-任意のファイルアップロードの脆弱性が、バージョン 4.0 から 11.0 に影響します (CVE-2018-17055)

- Dynamic Linq Parser での任意のコード実行が、バージョン 4.0 ~ 11.0に影響します

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Sitefinity バージョン 8.1.5860.0 以降にアップグレードしてください。

参考資料

https://insinuator.net/2018/10/vulnerabilities-in-sitefinity-wcms-a-success-story-of-a-responsible-disclosure-process/

https://knowledgebase.progress.com/articles/Article/Security-Advisory-for-Resolving-Security-vulnerabilities-September-2018

https://www.veracode.com/blog/research/anatomy-cross-site-scripting-flaw-telerik-reporting-module

プラグインの詳細

深刻度: High

ID: 112511

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2018/10/31

更新日: 2023/3/14

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2018-17055

CVSS v3

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CVSS スコアのソース: CVE-2018-17055

脆弱性情報

CPE: cpe:2.3:a:progress:sitefinity:*:*:*:*:*:*:*:*

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/5/22

脆弱性公開日: 2017/5/22

参照情報

CVE: CVE-2017-9140, CVE-2018-17053, CVE-2018-17054, CVE-2018-17055, CVE-2018-17056