Rss

JVN#43172719: ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性

Pocket

ユーザのウェブブラウザ上で、任意のスクリプトが実行される – CVE-2019-5985
当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる – CVE-2019-5986
情報機器ナビゲーション

 「ひかり電話対応ホームゲートウェイ」の一部の設定画面において、クロスサイトスクリプティング、クロスサイトリクエストフォージェリの脆弱性が存在します。
 クロスサイトスクリプティングの脆弱性は、脆弱性のあるWebサイトの入力フォームなどに悪意のある命令(スクリプト)を埋め込み、閲覧者のブラウザ上で実行を可能にさせます。
 クロスサイトリクエストフォージェリの脆弱性は、細工されたリンクの中の悪意のある要求(リクエスト)が、ユーザの要求であるかのように偽って(フォージェリ)、ログイン中のWebサイトに送信され、ログイン中のWebサイトでユーザの意思とは別の操作をさせられてしまいます。

情報源: JVN#43172719: ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です