JVN#37230341
アクセス解析CGI An-Analyzer における複数の脆弱性

アクセス解析CGI An-Analyzer には、複数の脆弱性が存在します。

• 2019年6月24日以前に公開されていたアクセス解析CGI An-Analyzer

有限会社アングラーズネットが提供するアクセス解析CGI An-Analyzer には、次の複数の脆弱性が存在します。

• 管理ページにおける OS コマンドインジェクション (CWE-78) - CVE-2019-5987

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L	基本値: 6.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:P/A:P	基本値: 6.5

• 管理ページにおける格納型のクロスサイトスクリプティング (CWE-79) - CVE-2019-5988

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:L/Au:N/C:N/I:P/A:N	基本値: 5.0

• 解析対象ページにおける DOM ベースのクロスサイトスクリプティング (CWE-79) - CVE-2019-5989

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• 情報漏えい (CWE-200) - CVE-2019-5990

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:M/Au:N/C:P/I:N/A:N	基本値: 4.3

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にログイン可能なユーザによって、任意の OS コマンドを実行される - CVE-2019-5987
• ユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2019-5988, CVE-2019-5989
• HTTP リファラからログイン用パスワードを取得される - CVE-2019-5990

当該製品の更新ファイルを適用し、解析用スクリプトを修正する
当該製品への対策には、開発者が提供する最新版のスクリプトをダウンロードし、当該製品の .cgi 拡張子のファイルを更新の上、解析用スクリプトを修正する必要があります。
詳細については、開発者が提供する情報を参照ください。