製品・ソフトウェアに関する情報

JVN脆弱性詳細

RabbitMQ 管理プラグインの管理 Web UI におけるクロスサイトスクリプティングの脆弱性

Title	RabbitMQ 管理プラグインの管理 Web UI におけるクロスサイトスクリプティングの脆弱性
Summary	RabbitMQ 管理プラグインの管理 Web UI には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	以下の影響を受ける可能性があります。 (1) リモート認証されたユーザにより、メッセージがキューに追加されない場合のヘッダまたは引数といったメッセージの詳細を介して、任意の Web スクリプトまたは HTML を挿入される (2) リモート認証されたユーザにより、ポリシーを閲覧する際に適切に処理されないポリシー名を介して、任意の Web スクリプトまたは HTML を挿入される (3) リモート認証されたユーザにより、バージョンといった AMQP ネットワーククライアントの詳細を介して、任意の Web スクリプトまたは HTML を挿入される (4) リモート認証された管理者により、ユーザ名を介して、任意の Web スクリプトまたは HTML を挿入される (5) リモート認証された管理者により、クラスタ名を介して、任意の Web スクリプトまたは HTML を挿入される (6) RabbitMQ クラスタ管理者により、不特定のコンテンツを変更される
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 8, 2015, midnight
Registration Date	Jan. 23, 2015, 4:19 p.m.
Last Update	Jan. 23, 2015, 4:19 p.m.

CVSS2.0 : 注意
Score	3.5
Vector	AV:N/AC:M/Au:S/C:N/I:P/A:N

Affected System

Pivotal Software, Inc.

RabbitMQ 3.4.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-0862	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0862
National Vulnerability Database (NVD)
2	CVE-2015-0862	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0862

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Pivotal Software, Inc.
1	RabbitMQ	http://www.rabbitmq.com/news.html#2015-01-08T10:14:05+0100

Change Log

No	Changed Details	Date of change
0	[2015年01月23日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-0862

Summary	Multiple cross-site scripting (XSS) vulnerabilities in the management web UI in the RabbitMQ management plugin before 3.4.3 allow remote authenticated users to inject arbitrary web script or HTML via (1) message details when a message is unqueued, such as headers or arguments; (2) policy names, which are not properly handled when viewing policies; (3) details for AMQP network clients, such as the version; allow remote authenticated administrators to inject arbitrary web script or HTML via (4) user names, (5) the cluster name; or allow RabbitMQ cluster administrators to (6) modify unspecified content.
Publication Date	Jan. 19, 2015, 3:59 a.m.
Registration Date	Jan. 26, 2021, 2:45 p.m.
Last Update	Nov. 21, 2024, 11:23 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:pivotal_software:rabbitmq_management::::::::			3.4.2

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.rabbitmq.com/news.html#2015-01-08T10:14:05+0100		Vendor Advisory
2	http://www.rabbitmq.com/news.html#2015-01-08T10:14:05+0100		Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html