| 概要 | Multiple cross-site scripting (XSS) vulnerabilities in Y-Cam camera models SD range YCB003, YCK003, and YCW003; S range YCB004, YCK004, YCW004; EyeBall YCEB03; Bullet VGA YCBL03 and YCBLB3; Bullet HD 720 YCBLHD5; Y-cam Classic Range YCB002, YCK002, and YCW003; and Y-cam Original Range YCB001, YCW001, running firmware 4.30 and earlier, allow remote authenticated users to inject arbitrary web script or HTML via the (1) SYSCONTACT parameter to form/identityApply, as triggered using en/identity.asp; (2) PASSWD parameter to form/accAdd, as triggered using en/account/accedit.asp; (3) NTPSERVER parameter to form/clockApply, as triggered using en/clock.asp; (4) SERVER parameter to form/smtpclientApply, as triggered using en/smtpclient.asp; (5) SERVER parameter to form/ftpApply, as triggered using en/ftp.asp; or (6) SERVER parameter to form/httpEventApply, as triggered using en/httpevent.asp. |
|---|---|
| 公表日 | 2015年5月14日9:59 |
| 登録日 | 2021年1月26日15:07 |
| 最終更新日 | 2024年11月21日11:05 |
| CVSS2.0 : LOW | |
| スコア | 3.5 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:N/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | はい |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycb004_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycb004:*:*:*:*:*:*:*:* | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycb002_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycb002:*:*:*:*:*:*:*:* | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:yck002_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:yck002:*:*:*:*:*:*:*:* | ||||
| 構成4 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:yck003_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:yck003:*:*:*:*:*:*:*:* | ||||
| 構成5 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:yceb03_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:yceb03:*:*:*:*:*:*:*:* | ||||
| 構成6 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycb001_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycb001:*:*:*:*:*:*:*:* | ||||
| 構成7 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycblhd5_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycblhd5:*:*:*:*:*:*:*:* | ||||
| 構成8 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycblb3_firmware:4.30:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:y-cam:ycblb3:*:*:*:*:*:*:*:* | |||||
| 構成9 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycb003_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycb003:*:*:*:*:*:*:*:* | ||||
| 構成10 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycw003_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycw003:*:*:*:*:*:*:*:* | ||||
| 構成11 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycw004_firmware:4.30:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:y-cam:ycw004:*:*:*:*:*:*:*:* | |||||
| 構成12 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycbl03_firmware:4.30:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:y-cam:ycbl03:*:*:*:*:*:*:*:* | |||||
| 構成13 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:yck004_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:yck004:*:*:*:*:*:*:*:* | ||||
| 構成14 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycw001_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycw001:*:*:*:*:*:*:*:* | ||||
| 構成15 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:y-cam:ycw002_firmware:4.30:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:y-cam:ycw002:*:*:*:*:*:*:*:* | ||||
| タイトル | 複数の Y-Cam カメラのファームウェアにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | 複数の Y-Cam カメラのファームウェアには、クロスサイトスクリプティングの脆弱性が存在します。 |
| 想定される影響 | リモート認証されたユーザにより、以下のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) en/identity.asp の使用を誘発された場合の form/identityApply の SYSCONTACT パラメータ (2) en/account/accedit.asp の使用を誘発された場合の form/accAdd の PASSWD パラメータ (3) en/clock.asp の使用を誘発された場合の form/clockApply の NTPSERVER パラメータ (4) en/smtpclient.asp の使用を誘発された場合の form/smtpclientApply の SERVER パラメータ (5) en/ftp.asp の使用を誘発された場合の form/ftpApply の SERVER パラメータ (6) en/httpevent.asp の使用を誘発された場合の form/httpEventApply の SERVER パラメータ |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2014年5月1日0:00 |
| 登録日 | 2015年5月19日14:17 |
| 最終更新日 | 2015年5月19日14:17 |
| Y-cam Solutions Ltd. |
| YCB001 |
| YCB001 ファームウェア 4.30 およびそれ以前 |
| YCB002 |
| YCB002 ファームウェア 4.30 およびそれ以前 |
| YCB003 |
| YCB003 ファームウェア 4.30 およびそれ以前 |
| YCB004 |
| YCB004 ファームウェア 4.30 およびそれ以前 |
| YCBL03 |
| YCBL03 ファームウェア 4.30 およびそれ以前 |
| YCBLB3 |
| YCBLB3 ファームウェア 4.30 およびそれ以前 |
| YCBLHD5 |
| YCBLHD5 ファームウェア 4.30 およびそれ以前 |
| YCEB03 |
| YCEB03 ファームウェア 4.30 およびそれ以前 |
| YCK002 |
| YCK002 ファームウェア 4.30 およびそれ以前 |
| YCK003 |
| YCK003 ファームウェア 4.30 およびそれ以前 |
| YCK004 |
| YCK004 ファームウェア 4.30 およびそれ以前 |
| YCW001 |
| YCW001 ファームウェア 4.30 およびそれ以前 |
| YCW002 |
| YCW002 ファームウェア 4.30 およびそれ以前 |
| YCW003 |
| YCW003 ファームウェア 4.30 およびそれ以前 |
| YCW004 |
| YCW004 ファームウェア 4.30 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年05月19日] 掲載 |
2018年2月17日10:37 |