2015年7月9日 12:43
モニタリングツール「Cacti」にクロスサイトスクリプティングなどの脆弱性
情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は7月9日、ネットワーク監視およびグラフ生成用Webアプリケーション「Cacti」におけるクロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの脆弱性情報を、JVN(Japan Vulnerability Notes)において公表した。
Cactiはネットワーク機器などから取得したデータをデータベースに蓄積しグラフ化するためのWebアプリケーション。Cactiには、settings.phpおよびgraph_view.phpのパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が存在。ログインした状態で細工されたページにアクセスした場合、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。また、クロスサイトリクエストフォージェリの脆弱性も存在し、当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。
IPAは、開発者が提供する情報をもとに、最新版へアップデートするよう注意を呼びかけている。
田原俊彦、超多忙だった10代を振り返る「今だったらきっと労働基準法に引っかかる」 頑張る若者にエール