| タイトル | Quest Software Inc.のNetVault Backupにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Quest NetVault Backup viewclient におけるクロスサイトスクリプティングおよび認証バイパスの脆弱性です。この脆弱性により、リモートの攻撃者は Quest NetVault Backup の影響を受けるインストール環境で認証を回避できます。この脆弱性を悪用するには、ターゲットが悪意のあるページを訪問するか、悪意のあるファイルを開くなどのユーザー操作が必要です。特定の脆弱性は viewclient のウェブページに存在しています。この問題はユーザー提供データの適切な検証が欠如していることに起因し、任意のスクリプトの挿入を引き起こす可能性があります。攻撃者はこれを他の脆弱性と組み合わせて、SYSTEM 権限のコンテキストで任意のコードを実行できます。元は ZDI-CAN-28202 でした。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月25日0:00 |
| 登録日 | 2026年6月29日11:00 |
| 最終更新日 | 2026年6月29日11:00 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Quest Software Inc. |
| NetVault Backup 14.0.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:00 |
| 概要 | Quest NetVault Backup viewclient Cross-Site Scripting Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of Quest NetVault Backup. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the viewclient webpage. The issue results from the lack of proper validation of user-supplied data, which can lead to the injection of an arbitrary script. An attacker can leverage this in conjunction with other vulnerabilities to execute arbitrary code in the context of SYSTEM. Was ZDI-CAN-28202. |
|---|---|
| 公表日 | 2026年6月25日9:17 |
| 登録日 | 2026年6月27日4:24 |
| 最終更新日 | 2026年6月27日5:16 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:quest:netvault_backup:*:*:*:*:*:*:*:* | 14.0.2 | ||||