Squid 3.1.12.1 <= 3.1.x <= 3.1.23 / 3.2.0.4 <= 3.2.x / 3.3.x / 3.4.x / 3.5.x <= 3.5.28 / 4.x < 4.4 跨網站指令碼弱點 (SQUID-2018:4)
medium Nessus Plugin ID 119726
語系:
概要
遠端 Proxy 伺服器受到跨網站指令碼弱點影響。說明
根據其標題顯示,遠端主機上執行的 Squid 版本為 3.1.12.1 版、3.1.23 版、3.1.12.1 之後且 3.1.23 之前的 3.1.x 版、3.2.0.4 版、3.2.0.4 版之前 3.2.x 版、3.3.x 版、3.4.x 版、3.5.28 版、3.5.28 之前的 3.5.x 版,或者 4.4 之前的 4.x 版。因此受到一個跨網站指令碼 (XSS) 弱點影響,這是因為未正確驗證使用者提供的輸入便將其傳回給使用者所致。控制伺服器的遠端攻擊者可惡意利用此弱點,透過觸發向用戶端傳遞已插入惡意指令碼的錯誤頁面,造成惡意指令碼在用戶端瀏覽器工作階段上執行。請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。解決方案
升級版本至 Squid 4.4 或更新版本。或者,套用供應商提供的修補程式。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 119726
檔案名稱: squid_2018_4.nasl
版本: 1.2
類型: remote
系列: Firewalls
已發布: 2018/12/17
已更新: 2019/10/31
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2018-19131
CVSS v3
風險因素: Medium
基本分數: 6.1
時間分數: 5.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:squid-cache:squid
必要的 KB 項目: installed_sw/Squid, Settings/ParanoidReport
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/10/17
弱點發布日期: 2018/10/28
參考資訊
CVE: CVE-2018-19131