製品・ソフトウェアに関する情報

JVN脆弱性詳細

SpringSource Hyperic HQ など製品のアラート一覧機能におけるクロスサイトスクリプティングの脆弱性

タイトル	SpringSource Hyperic HQ など製品のアラート一覧機能におけるクロスサイトスクリプティングの脆弱性
概要	SpringSource Hyperic HQ、Application Management Suite (AMS)、および tc Server の Web インターフェースのアラート一覧機能には、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、Description フィールドを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年10月13日0:00
登録日	2012年12月20日19:28
最終更新日	2012年12月20日19:28

CVSS2.0 : 注意
スコア	3.5
ベクター	AV:N/AC:M/Au:S/C:N/I:P/A:N

影響を受けるシステム

SpringSource

application management suite 2.0.0.SR3

Hyperic HQ 3.2.6.1 未満の 3.2.x、4.0.3.1 未満の 4.0.x、4.1.2.1 未満の 4.1.x、および 4.2-beta1

tc server 6.0.20.B

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2898	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2898
National Vulnerability Database (NVD)
2	CVE-2009-2898	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2898

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
SpringSource
1	Hyperic HQ Known Vulnerabilities	http://support.springsource.com/security/hyperic-hq

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-2898

概要	Cross-site scripting (XSS) vulnerability in the Alerts list feature in the web interface in SpringSource Hyperic HQ 3.2.x before 3.2.6.1, 4.0.x before 4.0.3.1, 4.1.x before 4.1.2.1, and 4.2-beta1; Application Management Suite (AMS) 2.0.0.SR3; and tc Server 6.0.20.B allows remote authenticated users to inject arbitrary web script or HTML via the Description field. NOTE: some of these details are obtained from third party information.
概要	Vulnerabilidad de Ejecución de secuencias de comandos en sitios cruzados(XSS) en el listado de características Alerts en la interface web en SpringSource Hyperic HQ v3.2.x anteirior v3.2.6.1, v4.0.x anterior v4.0.3.1, v4.1.x anterior v4.1.2.1, y v4.2-beta1; Application Management Suite (AMS) v2.0.0.SR3; y tc Server v6.0.20.B permite a usuarios autentificados remotamente inyectar código web o HTML de su elección a través del campo Description. NOTA: algunos de estos detalles son obtenidos de información de terceros.
公表日	2009年10月13日19:30
登録日	2021年1月29日13:22
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:springsource:application_management_suite:2.0.0:sr3::::::
cpe:2.3:a:springsource:hyperic_hq:3.2:beta_1::::::
cpe:2.3:a:springsource:hyperic_hq:3.2.0:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.1:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.2:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.3:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.4:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.5:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.6:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.0:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.1:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.2:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.3:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.1.0:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.1.1:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.1.2:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.2:beta_1::::::
cpe:2.3:a:springsource:tc_server:6.0.20:b::::::

関連情報、対策とツール

No	URL	refsource
1	http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=advisory&name=Hyperic_HQ_Multiple_XSS	secalert@redhat.com
2	http://jira.hyperic.com/browse/HHQ-3390	secalert@redhat.com
3	http://secunia.com/advisories/36935	secalert@redhat.com
4	http://www.coresecurity.com/content/hyperic-hq-vulnerabilities	secalert@redhat.com
5	http://www.osvdb.org/58611	secalert@redhat.com
6	http://www.securityfocus.com/archive/1/506935/100/0/threaded	secalert@redhat.com
7	http://www.securityfocus.com/archive/1/506950/100/0/threaded	secalert@redhat.com
8	http://www.springsource.com/security/hyperic-hq	secalert@redhat.com
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/53660	secalert@redhat.com
10	http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=advisory&name=Hyperic_HQ_Multiple_XSS	af854a3a-2127-422b-91ae-364da2661108
11	http://jira.hyperic.com/browse/HHQ-3390	af854a3a-2127-422b-91ae-364da2661108
12	http://secunia.com/advisories/36935	af854a3a-2127-422b-91ae-364da2661108
13	http://www.coresecurity.com/content/hyperic-hq-vulnerabilities	af854a3a-2127-422b-91ae-364da2661108
14	http://www.osvdb.org/58611	af854a3a-2127-422b-91ae-364da2661108
15	http://www.securityfocus.com/archive/1/506935/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securityfocus.com/archive/1/506950/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
17	http://www.springsource.com/security/hyperic-hq	af854a3a-2127-422b-91ae-364da2661108
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/53660	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

構成1	以上	以下	より上	未満
cpe:2.3:a:springsource:application_management_suite:2.0.0:sr3::::::
cpe:2.3:a:springsource:hyperic_hq:3.2:beta_1::::::
cpe:2.3:a:springsource:hyperic_hq:3.2.0:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.1:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.2:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.3:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.4:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.5:::::::*
cpe:2.3:a:springsource:hyperic_hq:3.2.6:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.0:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.1:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.2:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.0.3:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.1.0:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.1.1:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.1.2:::::::*
cpe:2.3:a:springsource:hyperic_hq:4.2:beta_1::::::
cpe:2.3:a:springsource:tc_server:6.0.20:b::::::