このウェブページスクリーンショットから、脆弱性情報の以下の重要な情報を取得できます: 1. 脆弱性番号: - CVE-2024-6449 - CVE-2024-6450 2. 公開日: - 2024年8月28日 3. ベンダー: - HyperView 4. 対象製品: - Geoportal Toolkit 5. 影響を受けるバージョン: - 全バージョン(8.2.4を含む) 6. 脆弱性の種類(CWE): - 信頼できないドメインを含む緩和されたクロスドメインポリシー (CWE-942) - Webページ生成時の入力neutralization不備(XSSまたは「クロスサイトスクリプティング」) (CWE-79) 7. 報告元: - CERT Polskaへの報告 8. 説明: - このソフトウェアは、リモートコンテンツを取得する際にクロスドメインリクエストを制限しないため、承認されていないリモート攻撃者は、ユーザー空間で開いたときに攻撃者が支配するリモート場所からスクリプトを読み込み、実行するリンクを用意することができます。このパラメータを操作することで、ローカルネットワーク内に存在するサーバーのあるデバイスを列挙することも可能です。この脆弱性にはCVE-2024-6449が付与されています。 - CVE-2024-6450は、反射型クロスサイトスクリプティング(XSS)攻撃を可能にします。承認されていない攻撃者は、ユーザーを構築されたURLの使用に誘導し、これによりユーザーのブラウザ上でスクリプトが実行されることになります。 9. 影響を受けるバージョン: - 全バージョン(8.2.4を含む) 10. 謝辞: - Dariusz Gońda氏にこの脆弱性の報告を感謝します。 11. 詳細情報: - 調整された脆弱性開示プロセスに関する詳細は、CERT Polskaのウェブサイトでご覧いただけます:https://cert.pl/en/cvd/