MobileDetect 2.8.31 Example session_example.php initLayoutType $_SERVER['PHP_SELF'] क्रॉस साइट स्क्रिप्टिंग
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
सारांश
एक असुरक्षितता जी समस्याग्रस्त म्हणून वर्गीकृत आहे, ती MobileDetect 2.8.31 मध्ये आढळली आहे. प्रभावित आहे फंक्शन initLayoutType फाइल examples/session_example.php च्या घटक Example च्या. सॉफ्टवेअरमध्ये $_SERVER['PHP_SELF'] या आर्ग्युमेंटमध्ये वापर क्रॉस साइट स्क्रिप्टिंग घडवून आणतो.
ही कमतरता CVE-2018-25080 या नावाने ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे.
प्रभावित घटकाचे अद्ययावत करणे शिफारसीय आहे.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
तपशील
एक असुरक्षितता जी समस्याग्रस्त म्हणून वर्गीकृत आहे, ती MobileDetect 2.8.31 मध्ये आढळली आहे. प्रभावित आहे फंक्शन initLayoutType फाइल examples/session_example.php च्या घटक Example च्या. सॉफ्टवेअरमध्ये $_SERVER['PHP_SELF'] या आर्ग्युमेंटमध्ये वापर क्रॉस साइट स्क्रिप्टिंग घडवून आणतो. CWE वापरून समस्या घोषित केल्याने CWE-79 कडे नेले जाते. कमजोरी प्रकाशित करण्यात आली होती 02/02/2023 म्हणून 741. सल्ला डाउनलोडसाठी github.com येथे शेअर केला आहे.
ही कमतरता CVE-2018-25080 या नावाने ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. तांत्रिक तपशील उपलब्ध आहेत. ही असुरक्षितता सामान्यपेक्षा कमी लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे उघड झाले आहे आणि वापरले जाऊ शकते. सध्याच्या घडीला अंदाजे USD $0-$5k असू शकतो. MITRE ATT&CK प्रकल्पाने हल्ल्याची तंत्रज्ञान T1059.007 म्हणून घोषित केली आहे.
हे प्रूफ-ऑफ-कॉन्सेप्ट म्हणून घोषित केले आहे. github.com या ठिकाणी शोषण डाउनलोडसाठी शेअर केले आहे. 0-डे म्हणून अंदाजे अंडरग्राउंड किंमत सुमारे $0-$5k होती.
2.8.32 या आवृत्तीवर अपग्रेड केल्याने ही समस्या हाताळता येईल. अपडेट केलेली आवृत्ती github.com येथे डाउनलोडसाठी उपलब्ध आहे. पॅचचे नाव म्हणजे 31818a441b095bdc4838602dbb17b8377d1e5cce. github.com येथे बगफिक्स डाउनलोडसाठी तयार आहे. प्रभावित घटकाचे अद्ययावत करणे शिफारसीय आहे. सल्लागारात पुढील उल्लेख आहे:
escaped PHP_SELF
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
उत्पादन
नाम
आवृत्ती:
परवाना
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔍VulDB विश्वसनीयता:: 🔍
CVSSv3
VulDB मेटा बेस स्कोअर: 4.4VulDB मेटा टेम्प स्कोअर: 4.3
VulDB बेस स्कोअर: 3.5
VulDB टेम्प स्कोअर: 3.2
VulDB सदिश: 🔍
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 6.1
NVD सदिश: 🔍
CNA बेस स्कोअर: 3.5
CNA सदिश (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔍
VulDB टेम्प स्कोअर: 🔍
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 🔍
शोषण करणे:
वर्ग: क्रॉस साइट स्क्रिप्टिंगCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔍
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔍
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
Exploit-DB: 🔍
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: अपग्रेड करास्थान: 🔍
0 दिवसांचा वेळ: 🔍
अपग्रेड करा: MobileDetect 2.8.32
ठिगळ: 31818a441b095bdc4838602dbb17b8377d1e5cce
टाइमलाइन
02/02/2023 🔍02/02/2023 🔍
02/02/2023 🔍
06/12/2025 🔍
स्त्रोत
सल्लागार: 741स्थान: पुष्टी केली
CVE: CVE-2018-25080 (🔍)
GCVE (CVE): GCVE-0-2018-25080
GCVE (VulDB): GCVE-100-220061
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 02/02/2023 09:18 PMअद्ययावत: 06/12/2025 01:18 AM
बदल: 02/02/2023 09:18 PM (48), 02/02/2023 09:19 PM (1), 04/03/2023 09:23 AM (2), 04/03/2023 09:25 AM (28), 04/03/2023 09:27 AM (1), 06/12/2025 01:18 AM (16)
संपूर्ण: 🔍
Cache ID: 253:8EF:103
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.