【活用ガイド】

JVNDB-2015-004720

Nokia Networks @vantage Commander におけるクロスサイトスクリプティングの脆弱性

概要

Nokia Networks (旧 Nokia Solutions and Networks および Nokia Siemens Networks) @vantage Commander には、クロスサイトスクリプティングの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


ノキア
  • @vantage commander

想定される影響

第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。

(1) cftraces/filter/fl_copy.jsp の idFilter パラメータ
(2) cftraces/filter/fl_copy.jsp の nameFilter パラメータ
(3) cftraces/filter/fl_crea1.jsp の flName パラメータ
(4) cftraces/process/pr_show_process.jsp の serchStatus パラメータ
(5) cftraces/process/pr_show_process.jsp の refreshTime パラメータ
(6) cftraces/process/pr_show_process.jsp の serchNode パラメータ
(7) cftraces/session/se_crea.jsp の MaxActivationTime パラメータ
(8) cftraces/session/se_crea.jsp の NumberOfBytes パラメータ
(9) cftraces/session/se_crea.jsp の NumberOfTracefiles パラメータ
(10) cftraces/session/se_crea.jsp の SessionName パラメータ
(11) cftraces/session/se_crea.jsp の serchSessionkind パラメータ
(12) cftraces/session/se_show.jsp の serchSessionDescription パラメータ
(13) cftraces/session/tr_crea_filter.jsp の serchApplication パラメータ
(14) cftraces/session/tr_crea_filter.jsp の serchApplicationkind パラメータ
(15) cftraces/session/tr_create_tagg_para.jsp の columKeyUnique パラメータ
(16) cftraces/session/tr_create_tagg_para.jsp の columParameter パラメータ
(17) cftraces/session/tr_create_tagg_para.jsp の componentName パラメータ
(18) cftraces/session/tr_create_tagg_para.jsp の criteria1 パラメータ
(19) cftraces/session/tr_create_tagg_para.jsp の criteria2 パラメータ
(20) cftraces/session/tr_create_tagg_para.jsp の criteria3 パラメータ
(21) cftraces/session/tr_create_tagg_para.jsp の description パラメータ
(22) cftraces/session/tr_create_tagg_para.jsp の filter パラメータ
(23) cftraces/session/tr_create_tagg_para.jsp の id パラメータ
(24) cftraces/session/tr_create_tagg_para.jsp の pathName パラメータ
(25) cftraces/session/tr_create_tagg_para.jsp の tableName パラメータ
(26) cftraces/session/tr_create_tagg_para.jsp の component パラメータ
(27) home/certificate_association.jsp の userid パラメータ
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

ノキア
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-6929
参考情報

  1. National Vulnerability Database (NVD) : CVE-2015-6929
  2. 関連文書 : Nokia Solutions And Networks Cross Site Scripting
更新履歴

  • [2015年09月18日]
      掲載

公表日2015/09/09
登録日2015/09/18
最終更新日2015/09/18