製品・ソフトウェアに関する情報

JVN脆弱性詳細

D-Link DSL-2760U ゲートウェイにおけるクロスサイトスクリプティングの脆弱性

タイトル	D-Link DSL-2760U ゲートウェイにおけるクロスサイトスクリプティングの脆弱性
概要	D-Link DSL-2760U ゲートウェイには、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) sntpcfg.cgi の ntpServer1 パラメータ (2) ddnsmngr.cmd の username パラメータ (3) todmngr.tod の username パラメータ (4) urlfilter.cmd の TodUrlAdd パラメータ (5) scprttrg.cmd の appName パラメータ (6) scoutflt.cmd の add アクションの fltName パラメータ (7) scoutflt.cmd の remove アクションの rmLst パラメータ (8) portmapcfg.cmd の groupName パラメータ (9) snmpconfig.cgi の snmpRoCommunity パラメータ (10) scinflt.cmd の fltName パラメータ (11) prmngr.cmd の add アクションの PolicyName パラメータ (12) prmngr.cmd の remove アクションの rmLst パラメータ (13) ippcfg.cmd の ippName パラメータ (14) samba.cgi の smbNetBiosName パラメータ (15) samba.cgi の smbDirName パラメータ (16) wlcfg.wl の wlSsid パラメータ
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年11月12日0:00
登録日	2013年11月20日15:18
最終更新日	2013年11月20日15:18

CVSS2.0 : 注意
スコア	3.5
ベクター	AV:N/AC:M/Au:S/C:N/I:P/A:N

影響を受けるシステム

D-Link Systems, Inc.

DSL-2760U (Rev. E1)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-5223	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5223
National Vulnerability Database (NVD)
2	CVE-2013-5223	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5223

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Security Advisories
1	SAP10002	http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10002

変更履歴

No	変更内容	変更日
0	[2013年11月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-5223

概要	Multiple cross-site scripting (XSS) vulnerabilities in D-Link DSL-2760U Gateway (Rev. E1) allow remote authenticated users to inject arbitrary web script or HTML via the (1) ntpServer1 parameter to sntpcfg.cgi, username parameter to (2) ddnsmngr.cmd or (3) todmngr.tod, (4) TodUrlAdd parameter to urlfilter.cmd, (5) appName parameter to scprttrg.cmd, (6) fltName in an add action or (7) rmLst parameter in a remove action to scoutflt.cmd, (8) groupName parameter to portmapcfg.cmd, (9) snmpRoCommunity parameter to snmpconfig.cgi, (10) fltName parameter to scinflt.cmd, (11) PolicyName in an add action or (12) rmLst parameter in a remove action to prmngr.cmd, (13) ippName parameter to ippcfg.cmd, (14) smbNetBiosName or (15) smbDirName parameter to samba.cgi, or (16) wlSsid parameter to wlcfg.wl.
公表日	2013年11月19日13:50
登録日	2021年1月26日15:45
最終更新日	2024年11月21日10:57

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:dlink:dsl-2760u_firmware::::::::					1.12
実行環境
1	cpe:2.3:h:dlink:dsl-2760u:e1:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://osvdb.org/99603	Broken Link
2	http://osvdb.org/99603	Broken Link
3	http://osvdb.org/99604	Broken Link
4	http://osvdb.org/99604	Broken Link
5	http://osvdb.org/99605	Broken Link
6	http://osvdb.org/99605	Broken Link
7	http://osvdb.org/99606	Broken Link
8	http://osvdb.org/99606	Broken Link
9	http://osvdb.org/99607	Broken Link
10	http://osvdb.org/99607	Broken Link
11	http://osvdb.org/99608	Broken Link
12	http://osvdb.org/99608	Broken Link
13	http://osvdb.org/99609	Broken Link
14	http://osvdb.org/99609	Broken Link
15	http://osvdb.org/99610	Broken Link
16	http://osvdb.org/99610	Broken Link
17	http://osvdb.org/99611	Broken Link
18	http://osvdb.org/99611	Broken Link
19	http://osvdb.org/99612	Broken Link
20	http://osvdb.org/99612	Broken Link
21	http://osvdb.org/99613	Broken Link
22	http://osvdb.org/99613	Broken Link
23	http://osvdb.org/99615	Broken Link
24	http://osvdb.org/99615	Broken Link
25	http://osvdb.org/99616	Broken Link
26	http://osvdb.org/99616	Broken Link
27	http://packetstormsecurity.com/files/123976	Exploit Third Party Advisory VDB Entry
28	http://packetstormsecurity.com/files/123976	Exploit Third Party Advisory VDB Entry
29	http://seclists.org/fulldisclosure/2013/Nov/76	Exploit Mailing List Third Party Advisory
30	http://seclists.org/fulldisclosure/2013/Nov/76	Exploit Mailing List Third Party Advisory
31	http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10002	Vendor Advisory
32	http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10002	Vendor Advisory
33	https://exchange.xforce.ibmcloud.com/vulnerabilities/88723	Third Party Advisory VDB Entry
34	https://exchange.xforce.ibmcloud.com/vulnerabilities/88723	Third Party Advisory VDB Entry
35	https://exchange.xforce.ibmcloud.com/vulnerabilities/88724	Third Party Advisory VDB Entry
36	https://exchange.xforce.ibmcloud.com/vulnerabilities/88724	Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html