製品・ソフトウェアに関する情報

JVN脆弱性詳細

SonicWALL Pro 2040 などで使用されている SonicWALL SonicOS Enhanced におけるクロスサイトスクリプティングの脆弱性

Title	SonicWALL Pro 2040 などで使用されている SonicWALL SonicOS Enhanced におけるクロスサイトスクリプティングの脆弱性
Summary	SonicWALL Pro 2040、TZ 180、および 190 で使用されている SonicWALL SonicOS Enhanced は、CFS ブロックページで適切に処理されていないため、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、コンテンツフィルタリングを基にブロックされているサイトへの URL を介して、任意の Web サイトへの任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 4, 2008, midnight
Registration Date	Dec. 20, 2012, 6:52 p.m.
Last Update	Dec. 20, 2012, 6:52 p.m.

Affected System

SonicWALL

SonicOS 4.0.1.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-4918	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4918
National Vulnerability Database (NVD)
2	CVE-2008-4918	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4918

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
SonicWALL
1	SonicOS Enhanced 4.0.1.1 Release Notes	http://www.sonicwall.com/downloads/SonicOS_Enhanced_4.0.1.1_Release_Notes.pdf

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-4918

Summary	Cross-site scripting (XSS) vulnerability in SonicWALL SonicOS Enhanced before 4.0.1.1, as used in SonicWALL Pro 2040 and TZ 180 and 190, allows remote attackers to inject arbitrary web script or HTML into arbitrary web sites via a URL to a site that is blocked based on content filtering, which is not properly handled in the CFS block page, aka "universal website hijacking."
Publication Date	Nov. 5, 2008, 6 a.m.
Registration Date	Jan. 29, 2021, 1:44 p.m.
Last Update	June 18, 2022, 12:18 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:sonicwall:sonicos_enhanced::::::::					4.0.1.1
execution environment
1	cpe:2.3:h:sonicwall:pro_2040:-:::::::*
2	cpe:2.3:h:sonicwall:tz_180:-:::::::*
3	cpe:2.3:h:sonicwall:tz_190:-:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.sonicwall.com/downloads/SonicOS_Enhanced_4.0.1.1_Release_Notes.pdf	CONFIRM	Broken Link
2	http://secunia.com/advisories/32498	SECUNIA	Not Applicable
3	http://www.zerodayinitiative.com/advisories/ZDI-08-070/	MISC	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/31998	BID	Third Party Advisory VDB Entry
5	http://www.gnucitizen.org/blog/new-technique-to-perform-universal-website-hijacking/	MISC	Third Party Advisory
6	http://www.zerodayinitiative.com/advisories/ZDI-08-070	MISC	Third Party Advisory VDB Entry
7	http://securityreason.com/securityalert/4556	SREASON	Third Party Advisory
8	http://www.vupen.com/english/advisories/2008/2970	VUPEN	Permissions Required
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/46232	XF	Third Party Advisory VDB Entry
10	http://www.securityfocus.com/archive/1/498073/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
11	http://www.securityfocus.com/archive/1/498043/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
12	http://www.securityfocus.com/archive/1/497989/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
13	http://www.securityfocus.com/archive/1/497968/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
14	http://www.securityfocus.com/archive/1/497958/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
15	http://www.securityfocus.com/archive/1/497948/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html