製品・ソフトウェアに関する情報

JVN脆弱性詳細

Cacti におけるクロスサイトスクリプティングの脆弱性

タイトル	Cacti におけるクロスサイトスクリプティングの脆弱性
概要	Cacti には、以下に関連する処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。 (1) graph.php (2) include/top_graph_header.php (3) lib/html_form.php (4) lib/timespan_settings.php この脆弱性は、以下のパラメータを介した処理で実証されています。 (a) graph.php の graph_end パラメータ (b) graph.php の graph_start パラメータ (c) graph_view.php の action=tree 時の date1 パラメータ (d) graph_settings.php の page_refresh パラメータ (e) graph_settings.php の default_dual_pane_width パラメータ
想定される影響	第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年6月28日0:00
登録日	2012年6月26日16:18
最終更新日	2015年7月9日12:02

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

The Cacti Group

Cacti 0.8.7e およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4032	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4032
National Vulnerability Database (NVD)
2	CVE-2009-4032	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4032

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Cacti
1	cacti-0.8.7e-patched	http://www.cacti.net/downloads/patches/0.8.7e/cross_site_fix.patch

その他

No	名前	URL
JVN
1	JVN#09758120	https://jvn.jp/jp/JVN09758120/index.html

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載 [2015年07月09日] JVN#09758120 にあわせ、概要、影響を受けるシステム、参考情報を更新	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-4032

概要	Multiple cross-site scripting (XSS) vulnerabilities in Cacti 0.8.7e allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) graph.php, (2) include/top_graph_header.php, (3) lib/html_form.php, and (4) lib/timespan_settings.php, as demonstrated by the (a) graph_end or (b) graph_start parameters to graph.php; (c) the date1 parameter in a tree action to graph_view.php; and the (d) page_refresh and (e) default_dual_pane_width parameters to graph_settings.php.
概要	Múltiples vulnerabilidades de XSS en Cacti 0.8.7e permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarias a través de vectores relacionados con (1) graph.php, (2) include/top_graph_header.php, (3) lib/html_form.php y (4) lib/timespan_settings.php, como es demostrado por los parámetros (a) graph_end o (b) graph_start a graph.php; (c) el parámetro date1 en una acción tree a graph_view.php; y los parámetros (d) page_refresh y (e) default_dual_pane_width a graph_settings.php.
公表日	2009年11月29日22:07
登録日	2021年1月29日13:25
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:cacti:cacti:0.8.7e:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://archives.neohapsis.com/archives/fulldisclosure/2009-11/0292.html	secalert@redhat.com
2	http://bugs.gentoo.org/show_bug.cgi?id=294573	secalert@redhat.com
3	http://docs.cacti.net/#cross-site_scripting_fixes	secalert@redhat.com
4	http://jvn.jp/en/jp/JVN09758120/index.html	secalert@redhat.com
5	http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-003901.html	secalert@redhat.com
6	http://secunia.com/advisories/37481	secalert@redhat.com
7	http://secunia.com/advisories/37934	secalert@redhat.com
8	http://secunia.com/advisories/38087	secalert@redhat.com
9	http://secunia.com/advisories/41041	secalert@redhat.com
10	http://www.cacti.net/download_patches.php	secalert@redhat.com
11	http://www.cacti.net/downloads/patches/0.8.7e/cross_site_fix.patch	secalert@redhat.com
12	http://www.openwall.com/lists/oss-security/2009/11/25/2	secalert@redhat.com
13	http://www.openwall.com/lists/oss-security/2009/11/25/4	secalert@redhat.com
14	http://www.openwall.com/lists/oss-security/2009/11/26/1	secalert@redhat.com
15	http://www.openwall.com/lists/oss-security/2009/11/30/2	secalert@redhat.com
16	http://www.osvdb.org/60483	secalert@redhat.com
17	http://www.securityfocus.com/archive/1/508129/100/0/threaded	secalert@redhat.com
18	http://www.securityfocus.com/bid/37109	secalert@redhat.com
19	http://www.vupen.com/english/advisories/2009/3325	secalert@redhat.com
20	http://www.vupen.com/english/advisories/2010/2132	secalert@redhat.com
21	https://exchange.xforce.ibmcloud.com/vulnerabilities/54388	secalert@redhat.com
22	https://rhn.redhat.com/errata/RHSA-2010-0635.html	secalert@redhat.com
23	https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01390.html	secalert@redhat.com
24	https://www.redhat.com/archives/fedora-package-announce/2010-January/msg00166.html	secalert@redhat.com
25	http://archives.neohapsis.com/archives/fulldisclosure/2009-11/0292.html	af854a3a-2127-422b-91ae-364da2661108
26	http://bugs.gentoo.org/show_bug.cgi?id=294573	af854a3a-2127-422b-91ae-364da2661108
27	http://docs.cacti.net/#cross-site_scripting_fixes	af854a3a-2127-422b-91ae-364da2661108
28	http://jvn.jp/en/jp/JVN09758120/index.html	af854a3a-2127-422b-91ae-364da2661108
29	http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-003901.html	af854a3a-2127-422b-91ae-364da2661108
30	http://secunia.com/advisories/37481	af854a3a-2127-422b-91ae-364da2661108
31	http://secunia.com/advisories/37934	af854a3a-2127-422b-91ae-364da2661108
32	http://secunia.com/advisories/38087	af854a3a-2127-422b-91ae-364da2661108
33	http://secunia.com/advisories/41041	af854a3a-2127-422b-91ae-364da2661108
34	http://www.cacti.net/download_patches.php	af854a3a-2127-422b-91ae-364da2661108
35	http://www.cacti.net/downloads/patches/0.8.7e/cross_site_fix.patch	af854a3a-2127-422b-91ae-364da2661108
36	http://www.openwall.com/lists/oss-security/2009/11/25/2	af854a3a-2127-422b-91ae-364da2661108
37	http://www.openwall.com/lists/oss-security/2009/11/25/4	af854a3a-2127-422b-91ae-364da2661108
38	http://www.openwall.com/lists/oss-security/2009/11/26/1	af854a3a-2127-422b-91ae-364da2661108
39	http://www.openwall.com/lists/oss-security/2009/11/30/2	af854a3a-2127-422b-91ae-364da2661108
40	http://www.osvdb.org/60483	af854a3a-2127-422b-91ae-364da2661108
41	http://www.securityfocus.com/archive/1/508129/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
42	http://www.securityfocus.com/bid/37109	af854a3a-2127-422b-91ae-364da2661108
43	http://www.vupen.com/english/advisories/2009/3325	af854a3a-2127-422b-91ae-364da2661108
44	http://www.vupen.com/english/advisories/2010/2132	af854a3a-2127-422b-91ae-364da2661108
45	https://exchange.xforce.ibmcloud.com/vulnerabilities/54388	af854a3a-2127-422b-91ae-364da2661108
46	https://rhn.redhat.com/errata/RHSA-2010-0635.html	af854a3a-2127-422b-91ae-364da2661108
47	https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01390.html	af854a3a-2127-422b-91ae-364da2661108
48	https://www.redhat.com/archives/fedora-package-announce/2010-January/msg00166.html	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html