| Title | Spacewalk および Red Hat Network Satellite におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | Spacewalk および Red Hat Network (RHN) Satellite には、PAGE_SIZE_LABEL_SELECTED に関する処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。 |
| Possible impacts | 第三者により、下記の変数を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) ソフトウェアチャネルの検索の whereCriteria 変数 (2) SCAP の監査結果の検索の end_year 変数 (3) SCAP の監査結果の検索の start_hour 変数 (4) SCAP の監査結果の検索の end_am_pm 変数 (5) SCAP の監査結果の検索の end_day 変数 (6) SCAP の監査結果の検索の end_hour 変数 (7) SCAP の監査結果の検索の end_minute 変数 (8) SCAP の監査結果の検索の end_month 変数 (9) SCAP の監査結果の検索の end_year 変数 (10) SCAP の監査結果の検索の optionScanDateSearch 変数 (11) SCAP の監査結果の検索の result_filter 変数 (12) SCAP の監査結果の検索の search_string 変数 (13) SCAP の監査結果の検索の show_as 変数 (14) SCAP の監査結果の検索の start_am_pm 変数 (15) SCAP の監査結果の検索の start_day 変数 (16) SCAP の監査結果の検索の start_hour 変数 (17) SCAP の監査結果の検索の start_minute 変数 (18) SCAP の監査結果の検索の start_month 変数 (19) SCAP の監査結果の検索の start_year 変数 (20) SCAP の監査結果の検索の whereToSearch 変数 (21) 正誤表の検索の end_minute 変数 (22) 正誤表の検索の end_month 変数 (23) 正誤表の検索の end_year 変数 (24) 正誤表の検索の errata_type_bug 変数 (25) 正誤表の検索の errata_type_enhancement 変数 (26) 正誤表の検索の errata_type_security 変数 (27) 正誤表の検索の fineGrained 変数 (28) 正誤表の検索の list_1892635924_sortdir 変数 (29) 正誤表の検索の optionIssueDateSearch 変数 (30) 正誤表の検索の start_am_pm 変数 (31) 正誤表の検索の start_day 変数 (32) 正誤表の検索の start_hour 変数 (33) 正誤表の検索の start_minute 変数 (34) 正誤表の検索の start_month 変数 (35) 正誤表の検索の start_year 変数 (36) 正誤表の検索の view_mode 変数 (37) システムの検索の fineGrained 変数 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 28, 2013, midnight |
| Registration Date | Feb. 17, 2014, 3:11 p.m. |
| Last Update | Feb. 17, 2014, 3:11 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| レッドハット |
| Red Hat Satellite (v. 5.6 for RHEL 5) |
| Red Hat Satellite (v. 5.6 for RHEL 6) |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年02月17日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Multiple cross-site scripting (XSS) vulnerabilities in Spacewalk and Red Hat Network (RHN) Satellite 5.6 allow remote attackers to inject arbitrary web script or HTML via the (1) whereCriteria variable in a software channels search; (2) end_year, (3) start_hour, (4) end_am_pm, (5) end_day, (6) end_hour, (7) end_minute, (8) end_month, (9) end_year, (10) optionScanDateSearch, (11) result_filter, (12) search_string, (13) show_as, (14) start_am_pm, (15) start_day, (16) start_hour, (17) start_minute, (18) start_month, (19) start_year, or (20) whereToSearch variable in an scap audit results search; (21) end_minute, (22) end_month, (23) end_year, (24) errata_type_bug, (25) errata_type_enhancement, (26) errata_type_security, (27) fineGrained, (28) list_1892635924_sortdir, (29) optionIssueDateSearch, (30) start_am_pm, (31) start_day, (32) start_hour, (33) start_minute, (34) start_month, (35) start_year, or (36) view_mode variable in an errata search; or (37) fineGrained variable in a systems search, related to PAGE_SIZE_LABEL_SELECTED. |
|---|---|
| Publication Date | Feb. 15, 2014, 12:55 a.m. |
| Registration Date | Jan. 26, 2021, 3:43 p.m. |
| Last Update | Nov. 21, 2024, 10:55 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:redhat:satellite:5.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:satellite_5_managed_db:5.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:spacewalk-java:*:*:*:*:*:*:*:* | 2.0.2 | ||||
| cpe:2.3:a:redhat:spacewalk-web:*:*:*:*:*:*:*:* | 2.0.3 | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:suse:manager:1.7:*:*:*:*:*:*:* | |||||