JVNDB-2015-004306
|
pfSense におけるクロスサイトスクリプティングの脆弱性
|
pfSense には、クロスサイトスクリプティングの脆弱性が存在します。
|
CVSS v2 による深刻度 基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
Electric Sheep Fencing
|
|
第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
(1) system_advanced_misc.php の srctrack パラメータ
(2) system_advanced_misc.php の use_mfs_tmp_size パラメータ
(3) system_advanced_misc.php の use_mfs_var_size パラメータ
(4) diag_packet_capture.php の port パラメータ
(5) diag_packet_capture.php の snaplen パラメータ
(6) diag_packet_capture.php の count パラメータ
(7) interfaces.php の pppoe_resethour パラメータ
(8) interfaces.php の pppoe_resetminute パラメータ
(9) interfaces.php の wpa_group_rekey パラメータ
(10) interfaces.php の wpa_gmk_rekey パラメータ
(11) interfaces_ppps_edit.php の pppoe_resethour パラメータ
(12) interfaces_ppps_edit.php の pppoe_resetminute パラメータ
(13) interfaces_qinq_edit.php の member[] パラメータ
(14) load_balancer_pool_edit.php の port パラメータ
(15) load_balancer_pool_edit.php の retry パラメータ
(16) pkg_mgr_settings.php の pkgrepourl パラメータ
(17) services_captiveportal.php の zone パラメータ
(18) services_dnsmasq.php の port パラメータ
(19) services_unbound.php の port パラメータ
(20) services_unbound_advanced.php の cache_max_ttl パラメータ
(21) services_unbound_advanced.php の cache_min_ttl パラメータ
(22) system_advanced_a dmin.php の sshport パラメータ
(23) system_advanced_sysctl.php の id パラメータ
(24) system_advanced_sysctl.php の tunable パラメータ
(25) system_advanced_sysctl.php の descr パラメータ
(26) system_advanced_sysctl.php の value パラメータ
(27) system_firmware_settings.php の firmwareurl パラメータ
(28) system_firmware_settings.php の repositoryurl パラメータ
(29) system_firmware_settings.php の branch パラメータ
(30) system_hasync.php の pfsyncpeerip パラメータ
(31) system_hasync.php の synchronizetoip パラメータ
(32) system_hasync.php の username パラメータ
(33) system_hasync.php の passwordfld パラメータ
(34) vpn_ipsec_settings.php の maxmss パラメータ
(35) vpn_openvpn_csc.php の ntp_server1 パラメータ
(36) vpn_openvpn_csc.php の ntp_server2 パラメータ
(37) vpn_openvpn_csc.php の wins_server1 パラメータ
(38) vpn_openvpn_csc.php の wins_server2 パラメータ
(39) load_balancer_relay_action.php の不特定のパラメータ
(40) load_balancer_relay_action_edit.php の不特定のパラメータ
(41) load_balancer_relay_protocol.php の不特定のパラメータ
(42) load_balancer_relay_protocol_edit.php の不特定のパラメータ
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
Electric Sheep Fencing
|
- クロスサイトスクリプティング(CWE-79) [NVD評価]
|
- CVE-2015-6510
|
- National Vulnerability Database (NVD) : CVE-2015-6510
|
|