製品・ソフトウェアに関する情報

JVN脆弱性詳細

D-Link DSL-2730B ルータのファームウェアにおけるクロスサイトスクリプティングの脆弱性

Title	D-Link DSL-2730B ルータのファームウェアにおけるクロスサイトスクリプティングの脆弱性
Summary	D-Link DSL-2730B ルータ (rev C1) のファームウェアには、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) dnsProxy.cmd (DNS Proxy Configuration Panel) の domainname パラメータ (2) lancfg2get.cgi (Lan Configuration Panel) の brName パラメータ (3) wlsecrefresh.wl (Wireless Security Panel) の wlAuthMode パラメータ (4) wlsecrefresh.wl (Wireless Security Panel) の wl_wsc_reg パラメータ (5) wlsecrefresh.wl (Wireless Security Panel) の wl_wsc_mode パラメータ (6) wlsecurity.wl (Wireless Password Viewer) の wlWpaPsk パラメータ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Jan. 11, 2015, midnight
Registration Date	Jan. 27, 2015, 11:25 a.m.
Last Update	Jan. 27, 2015, 11:25 a.m.

Affected System

D-Link Systems, Inc.

D-Link DSL-2730B

D-Link DSL-2730B ファームウェア GE_1.01

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1028	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1028
National Vulnerability Database (NVD)
2	CVE-2015-1028	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1028
関連文書
3	CVE-2015-1028 D-Link Modem DSL-2730B XSS Injection Stored	http://www.xlabs.com.br/blog/?p=339

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
D-Link
1	トップページ	http://www.dlink-jp.com/

Change Log

No	Changed Details	Date of change
0	[2015年01月27日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-1028

Summary	Multiple cross-site scripting (XSS) vulnerabilities in D-Link DSL-2730B router (rev C1) with firmware GE_1.01 allow remote authenticated users to inject arbitrary web script or HTML via the (1) domainname parameter to dnsProxy.cmd (DNS Proxy Configuration Panel); the (2) brName parameter to lancfg2get.cgi (Lan Configuration Panel); the (3) wlAuthMode, (4) wl_wsc_reg, or (5) wl_wsc_mode parameter to wlsecrefresh.wl (Wireless Security Panel); or the (6) wlWpaPsk parameter to wlsecurity.wl (Wireless Password Viewer).
Publication Date	Jan. 22, 2015, 12:28 a.m.
Registration Date	Jan. 26, 2021, 2:45 p.m.
Last Update	Nov. 21, 2024, 11:24 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.exploit-db.com/exploits/35747	Exploit
2	http://www.exploit-db.com/exploits/35747	Exploit
3	http://www.exploit-db.com/exploits/35750	Exploit
4	http://www.exploit-db.com/exploits/35750	Exploit
5	http://www.exploit-db.com/exploits/35751	Exploit
6	http://www.exploit-db.com/exploits/35751	Exploit
7	http://www.xlabs.com.br/blog/?p=339	Exploit
8	http://www.xlabs.com.br/blog/?p=339	Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html