NVD Vulnerability Detail

CVE-2014-6254

Summary	Multiple cross-site scripting (XSS) vulnerabilities in Zenoss Core through 5 Beta 3 allow remote attackers to inject arbitrary web script or HTML via an attribute in a (1) device name, (2) device detail, (3) report name, (4) report detail, or (5) portlet name, or (6) a string to a helper method, aka ZEN-15381 and ZEN-15410.
Publication Date	Dec. 16, 2014, 3:59 a.m.
Registration Date	Jan. 26, 2021, 3:16 p.m.
Last Update	Nov. 21, 2024, 11:14 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.kb.cert.org/vuls/id/449452	Third Party Advisory US Government Resource
2	http://www.kb.cert.org/vuls/id/449452	Third Party Advisory US Government Resource
3	https://docs.google.com/spreadsheets/d/1dHAc4PxUbs-4Dxzm1wSCE0sMz5UCMY6SW3PlMHSyuuQ/edit?usp=sharing	Vendor Advisory
4	https://docs.google.com/spreadsheets/d/1dHAc4PxUbs-4Dxzm1wSCE0sMz5UCMY6SW3PlMHSyuuQ/edit?usp=sharing	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

Zenoss Core におけるクロスサイトスクリプティングの脆弱性

Title	Zenoss Core におけるクロスサイトスクリプティングの脆弱性
Summary	Zenoss Core には、クロスサイトスクリプティングの脆弱性が存在します。ベンダは、本脆弱性を ZEN-15381 および ZEN-15410 として公開しています。
Possible impacts	第三者により、以下の項目の属性を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) デバイス名 (2) デバイスの詳細 (3) レポート名 (4) レポートの詳細 (5) ポートレット名 (6) ヘルパーメソッドの文字列
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 5, 2014, midnight
Registration Date	Dec. 17, 2014, 4:27 p.m.
Last Update	Dec. 17, 2014, 4:27 p.m.

Affected System

Zenoss, Inc.

Zenoss Core 5 Beta 3 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-6254	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6254
National Vulnerability Database (NVD)
2	CVE-2014-6254	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6254

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Google
1	VU#449452 - Google スプレッドシート	https://docs.google.com/spreadsheets/d/1dHAc4PxUbs-4Dxzm1wSCE0sMz5UCMY6SW3PlMHSyuuQ/edit?usp=sharing
SourceForge
2	Zenoss Core - Enterprise IT Monitoring	http://sourceforge.net/projects/zenoss/
Zenoss
3	Top Page	http://www.zenoss.org/

その他

No	Name	URL
JVN
1	JVNVU#98916051	http://jvn.jp/vu/JVNVU98916051/index.html
US-CERT Vulnerability Note
2	VU#449452	http://www.kb.cert.org/vuls/id/449452

Change Log

No	Changed Details	Date of change
0	[2014年12月17日] 掲載	Feb. 17, 2018, 10:37 a.m.