JVNDB-2012-003484
|
HP ArcSight アプライアンス製品にクロスサイトスクリプティングの脆弱性
|
|
HP が提供する ArcSight Logger および ArcSight Connectors には、クロスサイトスクリプティングの脆弱性が存在します。
HP が提供する ArcSight Logger および ArcSight Connectors には、インポートされたホスト情報を表示する際の処理に問題があり、クロスサイトスクリプティングの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
ヒューレット・パッカード
- ArcSight Connectors v6.4 より前のバージョン
- ArcSight Logger v5.3 より前のバージョン
|
|
|
細工されたファイルをインポートすることで、ユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報 (http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c03606700) をもとに、最新版へアップデートしてください。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 信頼できないファイルをインポートしない
|
|
ヒューレット・パッカード
|
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
|
- CVE-2012-2960
|
|
- JVN : JVNVU#960468
- National Vulnerability Database (NVD) : CVE-2012-2960
- US-CERT Vulnerability Note : VU#960468
|
|
- [2012年08月08日]
掲載
[2012年08月09日]
CVSS による深刻度:基本値と脆弱性評価基準を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
[2012年08月16日]
影響を受ける製品:内容を更新
[2013年02月20日]
影響を受ける製品:内容を更新
対策:内容を更新
ベンダ情報:ヒューレット・パッカード (HPSBMU02836 SSRT101056) を追加
|
