Ipswitch, Inc、WhatsUp Goldに複数の脆弱性を確認
WhatsUp GoldにSQL インジェクション及びクロスサイトスクリプティングの脆弱性が確認された。影響を受けるのはWhatsUpGold Version 16.2.6及び16.3.1で、その他のバージョンも影響を受ける恐れがある。SQL インジェクションの脆弱性は「Find Device」の検索フィールドがユーザの入力を適切に無効化せずSQLクエリやコマンドを実行されたり、「UniqueID」 パラメータがユーザの入力を適切に無効化しないためWhatsUp Goldアプリに関連するデータベースが流出する恐れがある。クロスサイトスクリプティングの脆弱性は、SNMP OIDオブジェクトにデータを登録することにより、格納型クロスサイトスクリプティングやSNMP のトラップメッセージによる攻撃が可能となり、さらにユーザ入力を適切に無効化しないため、様々な入力項目で格納型クロスサイトスクリプティングが可能となる。これらの脆弱性が悪用されると、バックエンドのデータベース上でSQLコマンドを実行されたり、他の管理者やユーザにクロスサイトスクリプティング攻撃を実行される恐れがある。解決策として、これらの脆弱性を修正したWhatsUp Gold 16.4が公開されており、アップデートによりこの脆弱性は解消される。
