JVNDB-2012-002857

JVNDB-2012-002857
IBM System Storage DS Storage Manager におけるクロスサイトスクリプティングの脆弱性
概要
IBM System Storage DS シリーズデバイス上で稼働する IBM System Storage DS Storage Manager の Storage Manager Profiler 内の SoftwareRegistration.do には、クロスサイトスクリプティングの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

IBM IBM System Storage DS Storage Manager 10.83.xx.18 未満 DS4100 (FAStT100) Dual-Controller Storage Server DS4200 Storage Server DS4300 (FAStT600) Dual Controller and Turbo Storage Server DS4400 (FAStT700) Storage Server DS4500 (FAStT900) Storage Server DS4700 Storage Server DS4800 Storage Server IBM System Storage DCS3700 Storage Subsystem IBM System Storage DS3200 IBM System Storage DS3300 IBM System Storage DS3400 IBM System Storage DS3512 IBM System Storage DS3524 IBM System Storage DS3950 Express IBM System Storage DS5020 Disk Controller (1814-20A) IBM System Storage DS5100 Storage Controller IBM System Storage DS5300 Storage Controller
影響を受けるプラットフォームの型番等の詳細につきましては、ベンダ情報の IBM System Storage DS Storage Manager Profiler SQL Injection and Cross-Site Scripting Vulnerabilities (CVE-2012-2171, CVE-2012-2172) を参照してください。
想定される影響
第三者により、updateRegn パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
IBM IBM Support Document : IBM System Storage DS Storage Manager Profiler SQL Injection and Cross-Site Scripting Vulnerabilities (CVE-2012-2171, CVE-2012-2172)
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-2172
参考情報
National Vulnerability Database (NVD) : CVE-2012-2172
更新履歴
[2012年06月26日] 掲載


公表日	2012/06/20
登録日	2012/06/26
最終更新日	2012/06/26

IBM System Storage DS Storage Manager におけるクロスサイトスクリプティングの脆弱性