セキュリティとITの最新情報

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起　|　
2016年6月27日

QNAP QTSにおけるクロスサイトスクリプティングの脆弱性

セキュリティ

メルマガ登録する

シェアボタンを表示

メルマガ登録する

LAC Advisory No.122

Problem first discovered on: Tue, 15 Sep 2015
Published on: Mon, 27 Jun 2016

QNAP Systems, Inc. が提供するQTSは、Turbo NAS用のOSです。QTSには、クロスサイトスクリプティング（CWE-79）の脆弱性が存在します。このため、QTSが動作する、QNAP社製SOHO NASなどで特定のURLにアクセスした場合に、ユーザのウェブブラウザ上で任意のスクリプトを実行される恐れがあります。

スクリーンショット

特定のURLにアクセスした場合に実行されるスクリプトのスクリーンショット

影響を受けるバージョン

QTS 4.2.0より前のバージョン

対策

開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

［ベンダ情報］

https://www.qnap.com/i/en/support/con_show.php?cid=93

発見者

山崎圭吾（サイバー・グリッド研究所／システムアセスメント部）

謝辞：
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPAに報告し、JPCERT/CCにより開発者との調整が行われました。

https://jvn.jp/jp/JVN42930233/index.html

http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000119.html

CVE番号:
CVE-2015-5664

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5664

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

この記事は役に立ちましたか？

はいいいえ

関連記事

関連記事をご紹介します

Apache Strutsにおけるクロスサイトスクリプティングの脆弱性

この記事を読む
メールディーラーにおけるクロスサイトスクリプティングの脆弱性

この記事を読む
「Usermin」におけるクロスサイトスクリプティング、並びにそれを通じたOSコマンドの実行

この記事を読む

よく読まれている記事

タグ