製品・ソフトウェアに関する情報

JVN脆弱性詳細

Fortinet FortiADC にクロスサイトスクリプティングの脆弱性

Title	Fortinet FortiADC にクロスサイトスクリプティングの脆弱性
Summary	Fortinet が提供する FortiADC には、クロスサイトスクリプティングの脆弱性が存在します。 Fortinet が提供する FortiADC には、/FortiADC/gui_partA/?locale=en の locale パラメータの処理に問題があり、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') http://cwe.mitre.org/data/definitions/79.html
Possible impacts	ユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	April 11, 2014, midnight
Registration Date	April 14, 2014, 3:53 p.m.
Last Update	April 14, 2014, 3:53 p.m.

Affected System

フォーティネット

FortiADC 3.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-0331	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0331
National Vulnerability Database (NVD)
2	CVE-2014-0331	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0331

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Fortinet
1	Application Delivery Controller (ADC) - Load Balancer	http://www.fortinet.com/products/fortiadc/index.html
2	FortiADC Cross-Site Scripting Vulnerability	http://www.fortiguard.com/advisory/FG-IR-14-004/

その他

No	Name	URL
JVN
1	JVNVU#98858887	http://jvn.jp/vu/JVNVU98858887/index.html
US-CERT Vulnerability Note
2	VU#667340	http://www.kb.cert.org/vuls/id/667340
関連文書
3	XSS Reflected vulnerabilities in OS of FortiADC v3.2 (CVE-2014-0331)	http://seclists.org/fulldisclosure/2014/Apr/53

Change Log

No	Changed Details	Date of change
0	[2014年04月14日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-0331

Summary	Cross-site scripting (XSS) vulnerability in the web administration interface in FortiADC with firmware before 3.2.1 allows remote attackers to inject arbitrary web script or HTML via the locale parameter to gui_partA/.
Publication Date	April 11, 2014, 5:29 a.m.
Registration Date	Jan. 26, 2021, 3:04 p.m.
Last Update	Nov. 21, 2024, 11:01 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:fortinet:fortiadc_firmware::::::::		3.2.0
cpe:2.3:h:fortinet:fortiadc-1000e:-:::::::*
cpe:2.3:h:fortinet:fortiadc-1500d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-2000d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-200d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-300e:-:::::::*
cpe:2.3:h:fortinet:fortiadc-4000d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-400e:-:::::::*
cpe:2.3:h:fortinet:fortiadc-600e:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://seclists.org/fulldisclosure/2014/Apr/53	Exploit
2	http://seclists.org/fulldisclosure/2014/Apr/53	Exploit
3	http://www.fortiguard.com/advisory/FG-IR-14-004	Vendor Advisory
4	http://www.fortiguard.com/advisory/FG-IR-14-004	Vendor Advisory
5	http://www.kb.cert.org/vuls/id/667340
6	http://www.kb.cert.org/vuls/id/667340
7	http://www.securityfocus.com/bid/66642
8	http://www.securityfocus.com/bid/66642
9	http://www.securitytracker.com/id/1030018
10	http://www.securitytracker.com/id/1030018

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:fortinet:fortiadc_firmware::::::::		3.2.0
cpe:2.3:h:fortinet:fortiadc-1000e:-:::::::*
cpe:2.3:h:fortinet:fortiadc-1500d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-2000d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-200d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-300e:-:::::::*
cpe:2.3:h:fortinet:fortiadc-4000d:-:::::::*
cpe:2.3:h:fortinet:fortiadc-400e:-:::::::*
cpe:2.3:h:fortinet:fortiadc-600e:-:::::::*