情報源
US-CERT Vulnerability Note VU#166739
APC Network Management Card web interface vulnerable to cross-site scripting and cross-site request forgery
http://www.kb.cert.org/vuls/id/166739
概要
APC Network Management Card の Web インタフェースには、クロスサ
イトスクリプティングおよびクロスサイトリクエストフォージェリの脆
弱性があります。結果として、Web インタフェースにログイン中のユー
ザに細工した URL を読み込ませることで、遠隔の第三者が意図しない
操作を行う可能性があります。
対象となるバージョンは以下の通りです。
- APC Network Management Card Firmware 3.7.1
- APC Network Management Card Firmware 5.1.0
この問題は、APC が提供する修正済みのバージョンに APC Network
Management Card のファームウェアを更新することで解決します。
関連文書 (日本語)
American Power Conversion Corp. 製品/技術情報 100208121404YK
APCセキュリティ勧告-Network Management CardのWebインタフェースへの不正なアクセスを許す脆弱性について
http://sturgeon.apcc.com/kbase.nsf/ForExternal/5B8A819646C0B666492576C40011B57C?OpenDocument
American Power Conversion Corp. ダウンロード
APC製品 ファームウェアアップグレードモジュール
http://sturgeon.apcc.com/Kbase.nsf/ForExternal/0202D3F49461620B492576AB000D3111?OpenDocument
Japan Vulnerability Notes JVNVU#166739
APC Network Management Card のウェブインターフェースに複数の脆弱性
https://jvn.jp/cert/JVNVU166739/index.html
関連文書 (英語)
American Power Conversion Corp. Knowledge Base 10887
Cross Site Scripting & Forgery Issue (XSS/CSRF) in NMC-Based Products
http://nam-en.apc.com/cgi-bin/nam_en.cfg/php/enduser/std_adp.php?p_faqid=10887&p_created=1261587018&p_topview=1
