製品・ソフトウェアに関する情報
Vulnerability Search
F5 FirePass SSL VPN におけるクロスサイトスクリプティングの脆弱性
Title F5 FirePass SSL VPN におけるクロスサイトスクリプティングの脆弱性
Summary

F5 FirePass SSL VPN には、クロスサイトスクリプティングの脆弱性が存在します。 本脆弱性は、CVE-2006-3550 と重複する可能性があります。

Possible impacts 第三者により、以下を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 (1) my.logon.php への xcho パラメータ (2) vdesk/admincon/index.php への per アクション内の topblue カスタムカラーパラメータ (3) vdesk/admincon/index.php への per アクション内の midblue カスタムカラーパラメータ (4) vdesk/admincon/index.php への per アクション内の wtopblue カスタムカラーパラメータなど (5) vdesk/admincon/index.php への per アクション内の h321 の Front Door カスタムテキストカラーパラメータ (6) vdesk/admincon/index.php への per アクション内の h311 の Front Door カスタムテキストカラーパラメータ (7) vdesk/admincon/index.php への per アクション内の h312 の Front Door カスタムテキストカラーパラメータなど (8) vdesk/admincon/index.php への bro アクション内の ua パラメータ (9) webyfiers.php への app_param パラメータ (10) webyfiers.php への app_name パラメータ (11) 二重 eval 関数 (12) <FP_DO_NOT_TOUCH> 要素を含む JavaScript (13) my.activation.php への vhost パラメータ
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Jan. 12, 2007, midnight
Registration Date June 26, 2012, 3:45 p.m.
Last Update June 26, 2012, 3:45 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
F5 Networks
firepass 4100 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年06月26日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-0186
Summary

Multiple cross-site scripting (XSS) vulnerabilities in F5 FirePass SSL VPN allow remote attackers to inject arbitrary web script or HTML via (1) the xcho parameter to my.logon.php3; the (2) topblue, (3) midblue, (4) wtopblue, and certain other Custom color parameters in a per action to vdesk/admincon/index.php; the (5) h321, (6) h311, (7) h312, and certain other Front Door custom text color parameters in a per action to vdesk/admincon/index.php; the (8) ua parameter in a bro action to vdesk/admincon/index.php; the (9) app_param and (10) app_name parameters to webyfiers.php; (11) double eval functions; (12) JavaScript contained in an <FP_DO_NOT_TOUCH> element; and (13) the vhost parameter to my.activation.php. NOTE: it is possible that this candidate overlaps CVE-2006-3550.

Summary

Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en F5 FirePass SSL VPN permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de (1) el parámetro xcho en el archivo my.logon.php3; los parámetros (2) topblue, (3) midblue, (4) wtopblue y ciertos otros parámetros de color personalizados en una acción per en el archivo vdesk/admincon/index.php; los parámetros (5) h321, (6) h311, (7) h312 y ciertos otros parámetros de color de texto personalizados de la Front Door en una acción per en el archivo vdesk/admincon/index.php; el (8) parámetro ua en una acción bro en el archivo vdesk/admincon/index.php; los parámetros (9) app_param y (10) app_name en el archivo webyfiers.php; (11) funciones de doble eval; (12) JavaScript contenido en un elemento (FP_DO_NOT_TOUCH); y (13) el parámetro vhost en el archivo my.activation.php. NOTA: es posible que este candidato se solapa con CVE-2006-3550.

Publication Date Jan. 12, 2007, 2:04 p.m.
Registration Date Jan. 29, 2021, 2:04 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:h:f5:firepass_4100:*:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List