| Title | ManageEngine EventLog Analyzer におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | ManageEngine EventLog Analyzer には、クロスサイトスクリプティングの脆弱性が存在します。 |
| Possible impacts | 第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) INDEX.do に対する HOST_ID パラメータ (2) INDEX.do に対する OS パラメータ (3) INDEX.do に対する GROUP パラメータ (4) INDEX.do に対する exportFile パラメータ (5) INDEX.do に対する load パラメータ (6) INDEX.do に対する type パラメータ (7) INDEX.do に対する tab パラメータ (8) INDEX2.do に対する reported パラメータ (9) hostlist.do に対する gId パラメータ (10) globalSettings.do に対する newWindow パラメータ (11) enableHost.do に対する STATUS パラメータ |
| Solution | ベンダ情報及び参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Sept. 27, 2011, midnight |
| Registration Date | Sept. 30, 2011, 2:13 p.m. |
| Last Update | Sept. 30, 2011, 2:13 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| Zoho Corporation |
| ManageEngine EventLog Analyzer 6.1 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2011年09月30日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Multiple cross-site scripting (XSS) vulnerabilities in ManageEngine EventLog Analyzer 6.1 allow remote attackers to inject arbitrary web script or HTML via the (1) HOST_ID, (2) OS, (3) GROUP, (4) exportFile, (5) load, (6) type, or (7) tab parameter to INDEX.do, the (8) reported parameter to INDEX2.do, the (9) gId parameter to hostlist.do, the (10) newWindow parameter to globalSettings.do, or the (11) STATUS parameter to enableHost.do. Fixed in Build 9000. |
|---|---|
| Publication Date | Sept. 28, 2011, 4:55 a.m. |
| Registration Date | Jan. 29, 2021, 11:10 a.m. |
| Last Update | Nov. 21, 2024, 10:21 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:manageengine:eventlog_analyzer:6.1:*:*:*:*:*:*:* | |||||