Cisco AppDynamics コントローラのクロスサイト スクリプティングの脆弱性
| アドバイザリ ID: | cisco-sa-appd-xss-3JwqSMNT |
CVE-2024-20346 CWE-79 | |
| 初版: |
2024 年 3 月 6 日 16:00 GMT | ||
| バージョン 1.0: | Final | ||
| 回避策: |
回避策はありません | ||
| CVSSスコア: | Base 5.4 |
概要
Cisco AppDynamics コントローラのウェブベース管理インターフェイスにおける脆弱性により、認証済みのリモート攻撃者が、影響を受けるデバイスのインターフェイスのユーザーに対して、反射型クロスサイト スクリプティング(XSS)攻撃を実行できる可能性があります。
この脆弱性は、ユーザーがウェブベースの管理インターフェイスで行った入力の検証が不十分であることに起因します。攻撃者は悪意のあるリンクをクリックするようユーザーを誘導することで、この脆弱性をエクスプロイトする可能性があります。エクスプロイトに成功すると、攻撃者は該当インターフェイスのコンテキストで任意のスクリプトコードを実行したり、ブラウザベースの機密情報にアクセスする可能性があります。
この脆弱性に対処するソフトウェア アップデートは、すでに Cisco からリリースされています。脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクで入手できます。https://docs.appdynamics.com/paa/en/appdynamics-security-advisories/cisco-appdynamics-controller-cross-site-scripting-vulnerability
影響を受ける製品
脆弱性が存在する製品
この脆弱性は、クラウドベースの AppDynamics コントローラに影響を及ぼします。
公開時点では、この脆弱性は AppDynamics コントローラ(オンプレミス)にも影響を及ぼしています。
公開時点で脆弱性が確認されているシスコソフトウェアのリリースについては、このアドバイザリの「Fixed Software」セクションを参照してください。
脆弱性がないことが確認された製品
このアドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
回避策
脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコの AppDynamics は、このアドバイザリに記載された脆弱性に対処するソフトウェアアップデートをリリースしました。お客様がインストールしたり、サポートを受けたりできるのは、最新のライセンスを保持し、有効なサポートとメンテナンス契約を持つソフトウェアバージョンとフィーチャセットのみです。当該のソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は AppDynamics のライセンス条項に従うことに同意したことになります。セキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェアライセンスや追加のソフトウェア フィーチャ セットに対する権限が付与されることはありません。
最新のライセンスを持ち、有効なサポートおよびメンテナンス契約をお持ちのお客様は、既存の AppDynamics 配信サーバー ダウンロード アカウントからソフトウェアの修正バージョンをダウンロードできます。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。情報が明確でない場合は、AppDynamics Support システムでサポートチケットを開くことをお勧めします。
固定リリース
AppDynamics では、クラウドベースの SaaS 環境におけるこの脆弱性に対処してきました。AppDynamics コントローラの SaaS バージョンを使用しているお客様の場合、ユーザーアクションは必要ありません。
AppDynamics コントローラオンプレミス
発行時点では、次の表に示すリリース情報は正確でした。最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。
左側の列にはシスコソフトウェアリリース、右側の列にはリリースがこのアドバイザリに記載されている脆弱性の影響を受けるかどうか、およびこの脆弱性に対する修正を含むリリースが示されています。
| Cisco AppDynamics コントローラのリリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 23.4.0 より前 | 23.4.0 |
修正済みリリースは、AppDynamics ソフトウェアポータル(https://download.appdynamics.com)から入手できます。修正済みソフトウェアをダウンロードするには、お客様は AppDynamics アカウントを保有している必要があります。
シスコの Product Security Incident Response Team(PSIRT; プロダクト セキュリティ インシデント レスポンス チーム)は、このアドバイザリに記載されている該当するリリース情報と修正済みリリース情報のみを検証します。
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
ソース
本脆弱性は、シスコ内部でのセキュリティ テストによって発見されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final |
2024 年 3 月 6 日 |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。