VDB-11273 · OSVDB 100162 · GCVE-100-11273

Novell Identity Manager 4.0.2 dnlookup2 クロスサイトスクリプティング

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.3	$0-$5k	0.00

要約情報

現在、Novell Identity Manager 4.0.2にて、問題があると分類される脆弱性が確認されています。影響を受けるのは、未知の関数です。この引数dnlookup2の操作は、クロスサイトスクリプティングを引き起こします。リモート攻撃が可能です。この問題の修正にはパッチの適用が推奨されます。

現在、Novell Identity Manager 4.0.2にて、問題があると分類される脆弱性が確認されています。影響を受けるのは、未知の関数です。この引数dnlookup2の操作は、クロスサイトスクリプティングを引き起こします。 CWEを使用して問題を宣言すると、CWE-80 につながります。この脆弱性は 2013年02月15日に「ウェブサイト」のパッチにて「IDM Roles Based Provisioning Module 402 Field Patch D」として紹介されました。アドバイザリはdownload.novell.comにて共有されています。

リモート攻撃が可能です。技術的な情報が提供されています。この脆弱性の普及度は平均未満です。エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトはT1059.007という攻撃手法を宣言しています。

このエクスプロイトツールは未定義として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。

パッチの名前はUA402Dです。修正プログラムはdownload.novell.comでダウンロードできます。この問題の修正にはパッチの適用が推奨されます。脆弱性の開示からすぐに後に、可能な緩和策が公表されました。