【活用ガイド】

JVNDB-2010-004182

Red Hat HPC Solution などの製品で使用される Cacti におけるクロスサイトスクリプティングの脆弱性

概要

Red Hat High Performance Computing (HPC) Solution およびその他の製品で使用される Cacti には、クロスサイトスクリプティングの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


The Cacti Group
  • Cacti 0.8.7g 未満

想定される影響

以下の影響を受ける可能性があります。
(1) 第三者により、templates_import.php への XML テンプレート内の name 要素を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(2) リモート認証された管理者により、cdef.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(3) リモート認証された管理者により、data_input.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(4) リモート認証された管理者により、data_queries.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(5) リモート認証された管理者により、data_sources.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(6) リモート認証された管理者により、data_templates.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(7) リモート認証された管理者により、gprint_presets.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(8) リモート認証された管理者により、graph.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(9) リモート認証された管理者により、graphs_new.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(10) リモート認証された管理者により、graphs.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(11) リモート認証された管理者により、graph_templates_inputs.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(12) リモート認証された管理者により、graph_templates_items.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(13) リモート認証された管理者により、graph_templates.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(14) リモート認証された管理者により、graph_view.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(15) リモート認証された管理者により、host.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(16) リモート認証された管理者により、host_templates.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(17) リモート認証された管理者により、lib/functions.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(18) リモート認証された管理者により、lib/html_form.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(19) リモート認証された管理者により、lib/html_form_template.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(20) リモート認証された管理者により、lib/html.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(21) リモート認証された管理者により、lib/html_tree.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(22) リモート認証された管理者により、lib/rrd.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(23) リモート認証された管理者により、rra.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(24) リモート認証された管理者により、tree.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
(25) リモート認証された管理者により、user_admin.php を介して、任意の Web スクリプトまたは HTML を挿入される可能性
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

The Cacti Group
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2010-2545
参考情報

  1. National Vulnerability Database (NVD) : CVE-2010-2545
更新履歴

  • [2012年06月26日]
      掲載

公表日2010/08/23
登録日2012/06/26
最終更新日2012/06/26