| 概要 | Symantec Web Isolation (WI) 1.11 prior to 1.11.21 is susceptible to a reflected cross-site scripting (XSS) vulnerability. A remote attacker can target end users protected by WI with social engineering attacks using crafted URLs for legitimate web sites. A successful attack allows injecting malicious JavaScript code into the website's rendered copy running inside the end user's web browser. It does not allow injecting code into the real (isolated) copy of the website running on the WI Threat Isolation Engine. |
|---|---|
| 公表日 | 2018年10月23日4:29 |
| 登録日 | 2021年3月1日18:49 |
| 最終更新日 | 2024年11月21日12:44 |
| CVSS3.0 : MEDIUM | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| CVSS2.0 : MEDIUM | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | はい |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:symantec:web_isolation:*:*:*:*:*:*:*:* | 1.11 | 1.11.21 | |||
| タイトル | Symantec Web Isolation におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Symantec Corporation が提供する Web Isolation には、反射型クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 開発者の情報によると、Portal Isolation モードの設定がされている場合のみ、本脆弱性の影響を受けるとのことです。 |
| 想定される影響 | ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに最新版にアップデートしてください。 |
| 公表日 | 2018年10月19日0:00 |
| 登録日 | 2018年10月19日12:10 |
| 最終更新日 | 2019年7月26日14:04 |
| シマンテック |
| Web Isolation 1.11 |
| Web Isolation 1.11 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2018年10月19日] 掲載 |
2018年10月19日12:07 |
| 2 | [2019年07月26日] 参考情報:National Vulnerability Database (NVD) (CVE-2018-12246) を追加 |
2019年7月26日14:03 |