JVNDB-2015-001938

複数の Websense 製品の調査レポートにおけるクロスサイトスクリプティングの脆弱性

Websense TRITON AP-WEB、Web Security、Web Filter、Web Security Gateway、および Web Security Gateway Anywhere の調査レポートには、クロスサイトスクリプティングの脆弱性が存在します。

ウェブセンス

• Websense TRITON AP-WEB 8.0.0 未満
• Websense Web Filter 7.8.3 以上 7.8.3 Hotfix 02 未満
• Websense Web Filter 7.8.4 以上 7.8.4 Hotfix 01 未満
• Websense Web Security 7.8.3 以上 7.8.3 Hotfix 02 未満
• Websense Web Security 7.8.4 以上 7.8.4 Hotfix 01 未満
• Websense Web Security Gateway 7.8.3 以上 7.8.3 Hotfix 02 未満
• Websense Web Security Gateway 7.8.4 以上 7.8.4 Hotfix 01 未満
• Websense Web Security Gateway Anywhere 7.8.3 以上 7.8.3 Hotfix 02 未満
• Websense Web Security Gateway Anywhere 7.8.4 以上 7.8.4 Hotfix 01 未満

第三者により、(1) Job Queue の Explorer report scheduler (cgi-bin/WsCgiExplorerSchedule.exe) の ReportName (Job Name) パラメータ、あるいは summary report ページの (2) Names または (3) Anonymous (explorer_wse/explorer_anon.exe) の col パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

ウェブセンス

• Solution Center : Vulnerabilities resolved in TRITON APX Version 8.0
• Solution Center : v7.8.3: About Hotfix 02 for Web Security Solutions
• Solution Center : v7.8.4: About Hotfix 01 for Web Security Solutions

1. クロスサイトスクリプティング(CWE-79) [NVD評価]

1. CVE-2014-9711

1. National Vulnerability Database (NVD) : CVE-2014-9711

• [2015年03月27日]
    掲載