JVNDB-2015-002765
|
Synametrics Technologies Xeams におけるクロスサイトリクエストフォージェリの脆弱性
|
|
Synametrics Technologies Xeams には、クロスサイトリクエストフォージェリの脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Synametrics Technologies
- Xeams 4.5 Build 5755 およびそれ以前
|
|
|
第三者により、管理者の認証をハイジャックされ、以下の影響を受ける可能性があります。
(1) /FrontController へのリクエストを介して、SMTP ドメインを作成される
(2) /FrontController へのリクエストを介して、ユーザを作成される
(3) 新しい SMTP ドメイン設定の作成時に /FrontController の domainname パラメータを介して、クロスサイトスクリプティング攻撃を実行される
(4) 新しいフォワーダの作成時に /FrontController の txtRecipient パラメータを介して、クロスサイトスクリプティング攻撃を実行される
(5) 新しい POP3 Fetcher アカウントの作成時に /FrontController の popFetchServer パラメータを介して、クロスサイトスクリプティング攻撃を実行される
(6) 新しい POP3 Fetcher アカウントの作成時に /FrontController の popFetchUser パラメータを介して、クロスサイトスクリプティング攻撃を実行される
(7) 新しい POP3 Fetcher アカウントの作成時に /FrontController の popFetchRecipient パラメータを介して、クロスサイトスクリプティング攻撃を実行される
(8) Advanced Server Configuration の Smtp HELO ドメインを介して、クロスサイトスクリプティング攻撃を実行される
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
|
Synametrics Technologies
|
|
- クロスサイトリクエストフォージェリ(CWE-352) [NVD評価]
|
|
- CVE-2015-3141
|
|
- National Vulnerability Database (NVD) : CVE-2015-3141
- 関連文書 : Xeams 4.5 Build 5755 CSRF / Cross Site Scripting
|
|
|
