セキュリティ ID: NAS-201811-29 脆弱性: Qsync Central の XSS 脆弱性 公開日: 2018年11月29日 CVE 識別子: CVE-2018-0716 影響を受ける製品: - QTS 4.2.6 build 20180711 およびそれ以前のバージョン - QTS 4.3.3: Qsync Central 3.0.2 およびそれ以前のバージョン - QTS 4.3.4: Qsync Central 3.0.3 およびそれ以前のバージョン - QTS 4.3.5: Qsync Central 3.0.4 およびそれ以前のバージョン 深刻度: 重要 ステータス: 解決済み 概要: Qsync Central に影響を与えるクロスサイトスクリプティング(XSS)脆弱性により、リモート攻撃者がアプリケーションに JavaScript コードを注入できる。 解決策: - QTS 4.2.6: build 20180829 以降 - QTS 4.3.3: Qsync Central 3.0.2.01 以降 - QTS 4.3.4: Qsync Central 3.0.3.01 以降 - QTS 4.3.5: Qsync Central 3.0.4.01 以降 推奨事項: - QTS 4.2.6 ユーザーは、QTS を最新バージョンに更新してください。 - QTS 4.3.3、4.3.4、および 4.3.5 ユーザーは、Qsync Central を最新バージョンに更新してください。 謝辞: マルチン・ジエバ(情報セキュリティ研究者、ペネトレーションテスター)