製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

SonicWALL Pro 2040 などで使用されている SonicWALL SonicOS Enhanced におけるクロスサイトスクリプティングの脆弱性

タイトル	SonicWALL Pro 2040 などで使用されている SonicWALL SonicOS Enhanced におけるクロスサイトスクリプティングの脆弱性
概要	SonicWALL Pro 2040、TZ 180、および 190 で使用されている SonicWALL SonicOS Enhanced は、CFS ブロックページで適切に処理されていないため、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	第三者により、コンテンツフィルタリングを基にブロックされているサイトへの URL を介して、任意の Web サイトへの任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年11月4日0:00
登録日	2012年12月20日18:52
最終更新日	2012年12月20日18:52

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

SonicWALL

SonicOS 4.0.1.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-4918	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4918
National Vulnerability Database (NVD)
2	CVE-2008-4918	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4918

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
SonicWALL
1	SonicOS Enhanced 4.0.1.1 Release Notes	http://www.sonicwall.com/downloads/SonicOS_Enhanced_4.0.1.1_Release_Notes.pdf

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-4918

概要	Cross-site scripting (XSS) vulnerability in SonicWALL SonicOS Enhanced before 4.0.1.1, as used in SonicWALL Pro 2040 and TZ 180 and 190, allows remote attackers to inject arbitrary web script or HTML into arbitrary web sites via a URL to a site that is blocked based on content filtering, which is not properly handled in the CFS block page, aka "universal website hijacking."
公表日	2008年11月5日6:00
登録日	2021年1月29日13:44
最終更新日	2022年6月18日0:18

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:sonicwall:sonicos_enhanced::::::::					4.0.1.1
実行環境
1	cpe:2.3:h:sonicwall:pro_2040:-:::::::*
2	cpe:2.3:h:sonicwall:tz_180:-:::::::*
3	cpe:2.3:h:sonicwall:tz_190:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.sonicwall.com/downloads/SonicOS_Enhanced_4.0.1.1_Release_Notes.pdf	CONFIRM	Broken Link
2	http://secunia.com/advisories/32498	SECUNIA	Not Applicable
3	http://www.zerodayinitiative.com/advisories/ZDI-08-070/	MISC	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/31998	BID	Third Party Advisory VDB Entry
5	http://www.gnucitizen.org/blog/new-technique-to-perform-universal-website-hijacking/	MISC	Third Party Advisory
6	http://www.zerodayinitiative.com/advisories/ZDI-08-070	MISC	Third Party Advisory VDB Entry
7	http://securityreason.com/securityalert/4556	SREASON	Third Party Advisory
8	http://www.vupen.com/english/advisories/2008/2970	VUPEN	Permissions Required
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/46232	XF	Third Party Advisory VDB Entry
10	http://www.securityfocus.com/archive/1/498073/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
11	http://www.securityfocus.com/archive/1/498043/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
12	http://www.securityfocus.com/archive/1/497989/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
13	http://www.securityfocus.com/archive/1/497968/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
14	http://www.securityfocus.com/archive/1/497958/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
15	http://www.securityfocus.com/archive/1/497948/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html