NVD脆弱性詳細

CVE-2014-3289

概要	Cross-site scripting (XSS) vulnerability in the web management interface in Cisco AsyncOS on the Email Security Appliance (ESA) 8.0, Web Security Appliance (WSA) 8.0 (.5 Hot Patch 1) and earlier, and Content Security Management Appliance (SMA) 8.3 and earlier allows remote attackers to inject arbitrary web script or HTML via a crafted parameter, as demonstrated by the date_range parameter to monitor/reports/overview on the IronPort ESA, aka Bug IDs CSCun07998, CSCun07844, and CSCun07888.
公表日	2014年6月10日20:19
登録日	2021年1月26日15:10
最終更新日	2024年11月21日11:07

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:cisco:ironport_asyncos::::::::		8.0
cpe:2.3:h:cisco:web_security_appliance:-:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:o:cisco:ironport_asyncos::::::::		8.3
cpe:2.3:h:cisco:content_security_management_appliance:-:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:o:cisco:ironport_asyncos:8.0:::::::*
cpe:2.3:o:cisco:email_security_appliance_firmware:-:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://packetstormsecurity.com/files/127004/Cisco-Ironport-Email-Security-Virtual-Appliance-8.0.0-671-XSS.html
2	http://packetstormsecurity.com/files/127004/Cisco-Ironport-Email-Security-Virtual-Appliance-8.0.0-671-XSS.html
3	http://seclists.org/fulldisclosure/2014/Jun/57	Exploit Third Party Advisory VDB Entry
4	http://seclists.org/fulldisclosure/2014/Jun/57	Exploit Third Party Advisory VDB Entry
5	http://secunia.com/advisories/58296	Permissions Required
6	http://secunia.com/advisories/58296	Permissions Required
7	http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3289	Vendor Advisory
8	http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3289	Vendor Advisory
9	http://tools.cisco.com/security/center/viewAlert.x?alertId=34569	Vendor Advisory
10	http://tools.cisco.com/security/center/viewAlert.x?alertId=34569	Vendor Advisory
11	http://www.kb.cert.org/vuls/id/613308
12	http://www.kb.cert.org/vuls/id/613308
13	http://www.securityfocus.com/bid/67943	Third Party Advisory VDB Entry
14	http://www.securityfocus.com/bid/67943	Third Party Advisory VDB Entry
15	http://www.securitytracker.com/id/1030407	Third Party Advisory VDB Entry
16	http://www.securitytracker.com/id/1030407	Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN脆弱性情報

Cisco AsyncOS 製品にクロスサイトスクリプティングの脆弱性

タイトル	Cisco AsyncOS 製品にクロスサイトスクリプティングの脆弱性
概要	Cisco AsyncOS で動作する複数の製品には、クロスサイトスクリプティングの脆弱性が存在します。 Cisco AsyncOS で動作する複数の製品には、管理画面の date_range パラメータに起因するクロスサイトスクリプティングの脆弱性 (CWE-79) が存在します。 CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') http://cwe.mitre.org/data/definitions/79.html
想定される影響	ユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
対策	[パッチを適用する] 開発者が提供する情報をもとに、パッチを適用してください。
公表日	2014年6月10日0:00
登録日	2014年6月11日16:37
最終更新日	2014年6月11日16:37

影響を受けるシステム

シスコシステムズ

Cisco AsyncOS

Cisco E メールセキュリティアプライアンス (ESA) 8.0 およびそれ以前

Cisco Web セキュリティアプライアンス (WSA) 8.0 およびそれ以前

Cisco コンテンツセキュリティ管理アプライアンス (SMA) 8.3 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-3289	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3289
National Vulnerability Database (NVD)
2	CVE-2014-3289	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3289

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Cisco Security Notice
1	Cisco AsyncOS Cross-Site Scripting Vulnerability	http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3289
Vulnerability Alert
2	34569	http://tools.cisco.com/security/center/viewAlert.x?alertId=34569

その他

No	名前	URL
JVN
1	JVNVU#98777725	http://jvn.jp/vu/JVNVU98777725/index.html
US-CERT Vulnerability Note
2	VU#613308	http://www.kb.cert.org/vuls/id/613308

変更履歴

No	変更内容	変更日
0	[2014年06月11日] 掲載	2018年2月17日10:37