製品・ソフトウェアに関する情報

JVN脆弱性詳細

IPSwitch WhatsUp Gold におけるクロスサイトスクリプティングの脆弱性

Title	IPSwitch WhatsUp Gold におけるクロスサイトスクリプティングの脆弱性
Summary	IPSwitch WhatsUp Gold には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、以下を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) SNMP OID オブジェクト (2) SNMP トラップメッセージ (3) View Names フィールド (4) Group Names フィールド (5) Flow Monitor Credentials フィールド (6) Flow Monitor Threshold Name フィールド (7) Task Library Name フィールド (8) Task Library Description フィールド (9) Policy Library Name フィールド (10) Policy Library Description フィールド (11) Template Library Name フィールド (12) Template Library Description フィールド (13) System Script Library Name フィールド (14) System Script Library Description フィールド (15) CLI Settings Library Description フィールド
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 16, 2015, midnight
Registration Date	Jan. 4, 2016, 3:57 p.m.
Last Update	Jan. 13, 2016, 6:05 p.m.

Affected System

Ipswitch, Inc.

WhatsUp Gold 16.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-6005	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6005
National Vulnerability Database (NVD)
2	CVE-2015-6005	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6005

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Ipswitch
1	Ipswitch WhatsUp GoldV16.4	http://www.whatsupgold.com/jp/products/whatsup-gold.aspx
2	Twitter	http://twitter.com/ipswitch/statuses/677558623229317121
3	WhatsUp Gold	http://www.whatsupgold.com/jp/

その他

No	Name	URL
JVN
1	JVNVU#94212028	http://jvn.jp/vu/JVNVU94212028/index.html
US-CERT Vulnerability Note
2	VU#176160	https://www.kb.cert.org/vuls/id/176160
関連文書
3	Multiple Disclosures for Multiple Network Management Systems (R7-2015-19)	https://community.rapid7.com/community/infosec/blog/2015/12/16/multiple-disclosures-for-multiple-network-management-systems

Change Log

No	Changed Details	Date of change
0	[2016年01月04日] 掲載 [2016年01月13日] ベンダ情報：Ipswitch, Inc. (Ipswitch WhatsUp GoldV16.4) を追加対策：内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-6005

Summary	Multiple cross-site scripting (XSS) vulnerabilities in IPSwitch WhatsUp Gold before 16.4 allow remote attackers to inject arbitrary web script or HTML via (1) an SNMP OID object, (2) an SNMP trap message, (3) the View Names field, (4) the Group Names field, (5) the Flow Monitor Credentials field, (6) the Flow Monitor Threshold Name field, (7) the Task Library Name field, (8) the Task Library Description field, (9) the Policy Library Name field, (10) the Policy Library Description field, (11) the Template Library Name field, (12) the Template Library Description field, (13) the System Script Library Name field, (14) the System Script Library Description field, or (15) the CLI Settings Library Description field.
Publication Date	Dec. 27, 2015, 12:59 p.m.
Registration Date	Jan. 26, 2021, 2:53 p.m.
Last Update	Nov. 21, 2024, 11:34 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:progress:whatsup_gold::::::::			16.3

Related information, measures and tools

No	URL	タグ
1	http://twitter.com/ipswitch/statuses/677558623229317121	Vendor Advisory
2	http://twitter.com/ipswitch/statuses/677558623229317121	Vendor Advisory
3	http://www.securityfocus.com/bid/79506
4	http://www.securityfocus.com/bid/79506
5	http://www.securitytracker.com/id/1034833
6	http://www.securitytracker.com/id/1034833
7	https://community.rapid7.com/community/infosec/blog/2015/12/16/multiple-disclosures-for-multiple-network-management-systems	Exploit
8	https://community.rapid7.com/community/infosec/blog/2015/12/16/multiple-disclosures-for-multiple-network-management-systems	Exploit
9	https://www.kb.cert.org/vuls/id/176160	Third Party Advisory US Government Resource
10	https://www.kb.cert.org/vuls/id/176160	Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html