製品・ソフトウェアに関する情報
Vulnerability Search
Citrix Access Gateway の Web ポータルインターフェースにおけるセッションハイジャックの脆弱性
Title Citrix Access Gateway の Web ポータルインターフェースにおけるセッションハイジャックの脆弱性
Summary

Advanced Edition より前の Citrix Access Gateway の Web ポータルインターフェースは、URL 内にセッション ID を配置するため、セッションをハイジャックされる脆弱性が存在します。

Possible impacts 攻撃者により、リファラーログ、ブラウザ履歴、またはブラウザキャッシュなどの "残留情報" を読まれることで、セッションをハイジャックされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date July 19, 2007, midnight
Registration Date June 26, 2012, 3:38 p.m.
Last Update June 26, 2012, 3:38 p.m.
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:P/I:N/A:N
Affected System
シトリックス・システムズ
Citrix Access Gateway Advanced Edition 4.5 HF1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年06月26日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-0011
Summary

The web portal interface in Citrix Access Gateway (aka Citrix Advanced Access Control) before Advanced Edition 4.5 HF1 places a session ID in the URL, which allows context-dependent attackers to hijack sessions by reading "residual information", including the a referer log, browser history, or browser cache.

Publication Date Nov. 6, 2007, 2:46 a.m.
Registration Date Jan. 29, 2021, 2:04 p.m.
Last Update Oct. 17, 2018, 1:30 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:citrix:access_gateway:4.0:*:*:*:*:*:*:*
cpe:2.3:a:citrix:access_gateway:4.2:*:*:*:*:*:*:*
cpe:2.3:a:citrix:access_gateway:4.5:*:advanced:*:*:*:*:*
cpe:2.3:a:citrix:access_gateway:4.5:*:standard:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List