製品・ソフトウェアに関する情報
Vulnerability Search
Ziproxy における Flash のアクセスコントロールを回避される脆弱性
Title Ziproxy における Flash のアクセスコントロールを回避される脆弱性
Summary

Ziproxy は、透過遮断モードが有効になっている際、リモートエンドポイントの決定に HTTP Host ヘッダを使用するため、Flash、Java、Silverlight などのアクセスコントロールを回避される、および制限されたイントラネットサイトと通信される脆弱性が存在します。

Possible impacts 第三者により、クライアントに変更された Host ヘッダを伴う HTTP リクエストを送信させる巧妙に細工された Web ページを介して、Flash、Java、Silverlight などのアクセスコントロールを回避される、および制限されたイントラネットサイトと通信される可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date March 4, 2009, midnight
Registration Date Dec. 20, 2012, 7:10 p.m.
Last Update Dec. 20, 2012, 7:10 p.m.
CVSS2.0 : 警告
Score 5.4
Vector AV:N/AC:H/Au:N/C:C/I:N/A:N
Affected System
ziproxy
ziproxy 2.6.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-0804
Summary

Ziproxy 2.6.0, when transparent interception mode is enabled, uses the HTTP Host header to determine the remote endpoint, which allows remote attackers to bypass access controls for Flash, Java, Silverlight, and probably other technologies, and possibly communicate with restricted intranet sites, via a crafted web page that causes a client to send HTTP requests with a modified Host header.

Publication Date March 5, 2009, 1:30 a.m.
Registration Date Jan. 29, 2021, 1:15 p.m.
Last Update June 18, 2009, 1 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:ziproxy:ziproxy:2.6.0:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List