Juniper JUNOS の J-Web インターフェースにおけるクロスサイトスクリプティングの脆弱性
| Title |
Juniper JUNOS の J-Web インターフェースにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
Juniper JUNOS の J-Web インターフェースには、クロスサイトスクリプティングの脆弱性が存在します。
|
| Possible impacts |
リモート認証されたユーザにより、以下への host パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) 診断プログラム経由で通信可能な pinghost プログラム (2) 診断プログラム経由で通信可能な traceroute プログラム (3) 設定プログラムへの probe-limit パラメータ (4) 設定プログラムへの firewall-filters アクション内の wizard-ids パラメータ (5) 設定プログラムへの firewall-filters アクション内の pager-new-identifier パラメータ (6) 設定プログラムへの cos-physical-interfaces-edit アクション内の cos-physical-interface-name パラメータ (7) 設定プログラムへの snmp アクション内の wizard-args パラメータ (8) 設定プログラムへの snmp アクション内の wizard-ids パラメータ (9) 設定プログラムへの users アクション内の username パラメータ (10) 設定プログラムへの users アクション内の fullname パラメータ (11) 設定プログラムへの local-cert アクション内の certname パラメータ (12) 設定プログラムへの local-cert アクション内の certbody パラメータ |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
Sept. 30, 2009, midnight |
| Registration Date |
Sept. 25, 2012, 5:38 p.m. |
| Last Update |
Sept. 25, 2012, 5:38 p.m. |
|
CVSS2.0 : 注意
|
| Score |
3.5
|
| Vector |
AV:N/AC:M/Au:S/C:N/I:P/A:N |
Affected System
| ジュニパーネットワークス |
|
Junos OS 8.5R1.14
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年09月25日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2009-3486
| Summary |
Multiple cross-site scripting (XSS) vulnerabilities in the J-Web interface in Juniper JUNOS 8.5R1.14 allow remote authenticated users to inject arbitrary web script or HTML via the host parameter to (1) the pinghost program, reachable through the diagnose program; or (2) the traceroute program, reachable through the diagnose program; or (3) the probe-limit parameter to the configuration program; the (4) wizard-ids or (5) pager-new-identifier parameter in a firewall-filters action to the configuration program; (6) the cos-physical-interface-name parameter in a cos-physical-interfaces-edit action to the configuration program; the (7) wizard-args or (8) wizard-ids parameter in an snmp action to the configuration program; the (9) username or (10) fullname parameter in a users action to the configuration program; or the (11) certname or (12) certbody parameter in a local-cert (aka https) action to the configuration program.
|
| Publication Date |
Oct. 1, 2009, 12:30 a.m. |
| Registration Date |
Jan. 29, 2021, 1:23 p.m. |
| Last Update |
Oct. 5, 2009, 1 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:juniper:junos:8.5:r1.14:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List