製品・ソフトウェアに関する情報
Vulnerability Search
Pulse Secure Pulse Connect Secure および Pulse Policy Secure におけるクロスサイトスクリプティングの脆弱性
Title Pulse Secure Pulse Connect Secure および Pulse Policy Secure におけるクロスサイトスクリプティングの脆弱性
Summary

Pulse Secure Pulse Connect Secure (PCS) および Pulse Policy Secure (PPS) には、クロスサイトスクリプティングの脆弱性が存在します。

Possible impacts 情報を取得される、および情報を改ざんされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Dec. 28, 2017, midnight
Registration Date Feb. 22, 2018, 11:59 a.m.
Last Update Feb. 22, 2018, 11:59 a.m.
CVSS3.0 : 警告
Score 4.8
Vector CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVSS2.0 : 注意
Score 3.5
Vector AV:N/AC:M/Au:S/C:N/I:P/A:N
Affected System
パルスセキュア
Pulse Connect Secure 8.0R17.0 未満
Pulse Connect Secure 8.1R13 未満の 8.1.x
Pulse Connect Secure 8.2R9 未満の 8.2.x
Pulse Connect Secure 8.3R3 未満の 8.3.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2018年02月22日]
  掲載		 Feb. 22, 2018, 11:59 a.m.
NVD Vulnerability Information
CVE-2017-17947
Summary

A cross site scripting issue has been found in custompage.cgi in Pulse Secure Pulse Connect Secure (PCS) before 8.0R17.0, 8.1.x before 8.1R13, 8.2.x before 8.2R9, and 8.3.x before 8.3R3 and Pulse Policy Secure (PPS) before 5.2R10, 5.3.x before 5.3R9, and 5.4.x before 5.4R3 due to one of the URL parameters not being sanitized. Exploitation does require the user to be logged in as administrator; the issue is not applicable to the end user portal.

Publication Date Jan. 17, 2018, 6:29 a.m.
Registration Date Jan. 26, 2021, 1:20 p.m.
Last Update Nov. 21, 2024, 12:19 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pulsesecure:pulse_connect_secure:*:*:*:*:*:*:*:* 8.3 8.3r3
cpe:2.3:a:pulsesecure:pulse_connect_secure:*:*:*:*:*:*:*:* 8.2 8.2r9
cpe:2.3:a:pulsesecure:pulse_connect_secure:*:*:*:*:*:*:*:* 8.1 8.1r13
cpe:2.3:a:pulsesecure:pulse_connect_secure:*:*:*:*:*:*:*:* 8.0r17.0
Related information, measures and tools
Common Vulnerabilities List