製品・ソフトウェアに関する情報
Vulnerability Search
ZTE ZXDSL 831 におけるクロスサイトスクリプティングの脆弱性
Title ZTE ZXDSL 831 におけるクロスサイトスクリプティングの脆弱性
Summary

ZTE ZXDSL 831 には、クロスサイトスクリプティングの脆弱性が存在します。 本脆弱性は、影響を受ける製品・コードベースが異なるため、CVE-2014-9020 から分割されました。

Possible impacts 第三者により、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。  (1) TR-069 Client ページ (tr69cfg.cgi) の tr69cAcsURLパラメータ (2) TR-069 Client ページ (tr69cfg.cgi) の tr69cAcsUser パラメータ (3) TR-069 Client ページ (tr69cfg.cgi) の tr69cAcsPwd パラメータ (4) TR-069 Client ページ (tr69cfg.cgi) の tr69cConnReqPwd パラメータ (5) TR-069 Client ページ (tr69cfg.cgi) の tr69cDebugEnable パラメータ (6) Time and date ページ (sntpcfg.sntp) の timezone パラメータ (7) Quick Stats ページ (psilan.cgi) の save アクションの hostname パラメータ 
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Nov. 6, 2014, midnight
Registration Date Nov. 21, 2014, 6:27 p.m.
Last Update Nov. 21, 2014, 6:27 p.m.
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:P/A:N
Affected System
ZTE
ZXDSL 831 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年11月21日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-9021
Summary

Multiple cross-site scripting (XSS) vulnerabilities in ZTE ZXDSL 831 allow remote attackers to inject arbitrary web script or HTML via the (1) tr69cAcsURL, (2) tr69cAcsUser, (3) tr69cAcsPwd, (4) tr69cConnReqPwd, or (5) tr69cDebugEnable parameter to the TR-069 client page (tr69cfg.cgi); the (6) timezone parameter to the Time and date page (sntpcfg.sntp); or the (7) hostname parameter in a save action to the Quick Stats page (psilan.cgi). NOTE: this issue was SPLIT from CVE-2014-9020 per ADT1 due to different affected products and codebases.

Publication Date Nov. 21, 2014, 2:50 a.m.
Registration Date Jan. 26, 2021, 3:21 p.m.
Last Update Nov. 21, 2024, 11:20 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:h:zteusa:zxdsl_831:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List