JVNDB-2007-003661
|
JBMC Software DirectAdmin におけるクロスサイトスクリプティングの脆弱性
|
|
JBMC Software DirectAdmin には、ログファイルを適切に表示しないため、クロスサイトスクリプティングの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
JBMC Software
|
|
|
以下の影響を受ける可能性があります。
(1) リモート認証されたユーザにより、http を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(2) リモート認証されたユーザにより、/var/log/directadmin/security.log に記録された ftp 要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(3) 攻撃者により、/usr/bin/logger を呼び出す PHP スクリプトを介して、/var/log/messages へ任意の Web スクリプトまたは HTML を挿入される可能性
(4) ローカルユーザにより、コマンドラインで /usr/bin/logger を呼び出されることで、/var/log/messages へ任意の Web スクリプトまたは HTML を挿入される可能性
(5) 第三者により、/var/log/exim/rejectlog ファイルに記録されたリモート要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(6) 第三者により、/var/log/exim/mainlog ファイルに記録されたリモート要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(7) 第三者により、/var/log/proftpd/auth.log ファイルに記録されたリモート要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(8) 第三者により、/var/log/httpd/error_log ファイルに記録されたリモート要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(9) 第三者により、/var/log/httpd/access_log ファイルに記録されたリモート要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(10) 第三者により、/var/log/directadmin/error.log ファイルに記録されたリモート要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(11) 第三者により、/var/log/directadmin/security.log ファイルに記録されたリモート要求を介して、任意の Web スクリプトまたは HTML を挿入される可能性
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
JBMC Software
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2007-1926
|
|
- National Vulnerability Database (NVD) : CVE-2007-1926
|
|
|
