NVD Vulnerability Detail

CVE-2008-0971

Summary	Multiple cross-site scripting (XSS) vulnerabilities in index.cgi in Barracuda Spam Firewall (BSF) before 3.5.12.007, Message Archiver before 1.2.1.002, Web Filter before 3.3.0.052, IM Firewall before 3.1.01.017, and Load Balancer before 2.3.024 allow remote attackers to inject arbitrary web script or HTML via (1) the Policy Name field in Search Based Retention Policy in Message Archiver; unspecified parameters in the (2) IP Configuration, (3) Administration, (4) Journal Accounts, (5) Retention Policy, and (6) GroupWise Sync components in Message Archiver; (7) input to search operations in Web Filter; and (8) input used in error messages and (9) hidden INPUT elements in (a) Spam Firewall, (b) IM Firewall, and (c) Web Filter.
Publication Date	Dec. 20, 2008, 2:30 a.m.
Registration Date	Jan. 29, 2021, 1:32 p.m.
Last Update	Oct. 16, 2018, 7:03 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:h:barracuda_networks:barracuda_im_firewall::::::::		3.0.01.008
cpe:2.3:h:barracuda_networks:barracuda_load_balancer::::::::		2.2.006
cpe:2.3:h:barracuda_networks:barracuda_message_archiver::::::::		1.1.0.010
cpe:2.3:h:barracuda_networks:barracuda_spam_firewall::::::::		3.5.11.020
cpe:2.3:h:barracuda_networks:barracuda_web_filter::::::::		3.3.0.038

Related information, measures and tools

No	URL	refsource	タグ
1	http://dcsl.ul.ie/advisories/03.htm	MISC
2	http://secunia.com/advisories/33164	SECUNIA	Vendor Advisory
3	http://securityreason.com/securityalert/4792	SREASON
4	http://securitytracker.com/id?1021454	SECTRACK
5	http://www.barracudanetworks.com/ns/support/tech_alert.php	CONFIRM	Vendor Advisory
6	http://www.osvdb.org/50709	OSVDB
7	http://www.securityfocus.com/archive/1/499294/100/0/threaded	BUGTRAQ

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

複数の Barracuda 製品の index.cgi におけるクロスサイトスクリプティングの脆弱性

Title	複数の Barracuda 製品の index.cgi におけるクロスサイトスクリプティングの脆弱性
Summary	複数の Barracuda 製品の index.cgi には、クロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	第三者により、以下の処理を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) Message Archiver の Search Based Retention Policy 内にある Policy Name field (2) IP Configuration 内にあるパラメータ (3) Administration 内にあるパラメータ (4) Journal Accounts 内にあるパラメータ (5) Retention Policy 内にあるパラメータ (6) Message Archiver の GroupWise Sync コンポーネント内にあるパラメータ (7) Web Filter 内にある検索オペレーションの入力値 (8) エラーメッセージで使用される入力値 (9) (a) Spam Firewall、(b) IM Firewall および (c) Web Filter 内にある、input 要素の hidden タイプ
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 15, 2008, midnight
Registration Date	June 6, 2011, 2:21 p.m.
Last Update	June 6, 2011, 2:21 p.m.

Affected System

バラクーダネットワークス

Barracuda Spam Firewall 3.5.11.025 未満

Barracuda Web Filter 3.3.0.052 未満

IM Firewall 3.1.01.017 未満

Load Balancer 2.3.024 未満

Message Archiver 1.2.1.002 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-0971	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-0971
National Vulnerability Database (NVD)
2	CVE-2008-0971	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0971

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
テクニカルアラート
1	Resolved input field validation and HTML encoding issues in select Barracuda Networks products	http://www.barracudanetworks.com/ns/support/tech_alert.php

その他

No	Name	URL
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
1	50709	http://osvdb.org/50709
Secunia Advisory
2	SA33164	http://secunia.com/advisories/33164
SecurityTracker
3	1021454	http://securitytracker.com/id?1021454

Change Log

No	Changed Details	Date of change
0	[2011年06月06日] 掲載	Feb. 17, 2018, 10:37 a.m.