JVNDB-2014-002987
|
Openfiler におけるクロスサイトスクリプティングの脆弱性
|
|
Openfiler には、クロスサイトスクリプティングの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Openfiler
|
|
|
以下を実行される可能性があります。
* 第三者により、(1) uptime.html の TinkerAjax パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
* リモート認証されたユーザにより、以下の項目を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
(2) admin/services_ftp.html の MaxInstances パラメータ
(3) admin/services_ftp.html の PassivePorts パラメータ
(4) admin/services_ftp.html の Port パラメータ
(5) admin/services_ftp.html の ServerName パラメータ
(6) admin/services_ftp.html の TimeoutLogin パラメータ
(7) admin/services_ftp.html の TimeoutNoTransfer パラメータ
(8) admin/services_ftp.html の TimeoutStalled パラメータ
(9) admin/system.html の dns1 パラメータ
(10) admin/system.html の dns2 パラメータ
(11) admin/volumes_iscsi_targets.html の newTgtName パラメータ
(12) account/ の language.html の User-Agent HTTP ヘッダ
(13) account/ の login.html の User-Agent HTTP ヘッダ
(14) account/ の password.html の User-Agent HTTP ヘッダ
(15) admin/ の account_groups.html の User-Agent HTTP ヘッダ
(16) admin/ の account_users.html の User-Agent HTTP ヘッダ
(17) admin/ の services.html の User-Agent HTTP ヘッダ
(18) admin/ の services_ftp.html の User-Agent HTTP ヘッダ
(19) admin/ の services_iscsi_target.html の User-Agent HTTP ヘッダ
(20) admin/ の services_rsync.html の User-Agent HTTP ヘッダ
(21) admin/ の system_clock.html の User-Agent HTTP ヘッダ
(22) admin/ の system_info.html の User-Agent HTTP ヘッダ
(23) admin/ の system_ups.html の User-Agent HTTP ヘッダ
(24) admin/ の volumes_editpartitions.html の User-Agent HTTP ヘッダ
(25) admin/ の volumes_iscsi_targets.html の User-Agent HTTP ヘッダ
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
Openfiler
|
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
|
- CVE-2014-4309
|
|
- National Vulnerability Database (NVD) : CVE-2014-4309
- 関連文書 : Openfiler NAS/SAN Appliance 2.99 XSS / Traversal / Command Injection
|
|
|
