PHPList 3.2.6 /lists/admin/ page Reflected क्रॉस साइट स्क्रिप्टिंग
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
सारांश
एक दुर्बलता जी समस्याग्रस्त म्हणून ओळखली गेली आहे, ती PHPList 3.2.6 मध्ये सापडली आहे. संबंधित आहे अज्ञात फंक्शन फाइल /lists/admin/ च्या. सॉफ्टवेअरमध्ये page या आर्ग्युमेंटचे send\'\";><script>alert(8)</script> या इनपुटसह केलेले बदल क्रॉस साइट स्क्रिप्टिंग (Reflected) यास कारणीभूत ठरतात.
ही दुर्बलता CVE-2017-20033 म्हणून ओळखली जाते. हा हल्ला रिमोटली सुरू करता येऊ शकतो. यासाठी कोणताही एक्स्प्लॉइट उपलब्ध नाही.
प्रभावित घटकाचा अपग्रेड करण्याची शिफारस केली जाते.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
तपशील
एक दुर्बलता जी समस्याग्रस्त म्हणून ओळखली गेली आहे, ती PHPList 3.2.6 मध्ये सापडली आहे. संबंधित आहे अज्ञात फंक्शन फाइल /lists/admin/ च्या. सॉफ्टवेअरमध्ये page या आर्ग्युमेंटचे send\'\";><script>alert(8)</script> या इनपुटसह केलेले बदल क्रॉस साइट स्क्रिप्टिंग (Reflected) यास कारणीभूत ठरतात. CWE द्वारे समस्या जाहीर केल्यास CWE-80 येथे पोहोचता येते. ही दुर्बलता प्रकाशित झाली होती 17/03/2017 कडून Tim Coen सोबत Curesec Research Team म्हणून phplist 3.2.6: XSS म्हणून Mailinglist Post (Full-Disclosure). seclists.org या ठिकाणी सल्ला डाउनलोडसाठी उपलब्ध आहे.
ही दुर्बलता CVE-2017-20033 म्हणून ओळखली जाते. हा हल्ला रिमोटली सुरू करता येऊ शकतो. तांत्रिक माहिती उपलब्ध आहे. या असुरक्षिततेची लोकप्रियता सरासरीपेक्षा कमी आहे. यासाठी कोणताही एक्स्प्लॉइट उपलब्ध नाही. आत्ताच्या क्षणी सुमारे USD $0-$5k असण्याची शक्यता आहे. MITRE ATT&CK प्रकल्प T1059.007 या हल्ला तंत्रज्ञानाची घोषणा करतो.
याला परिभाषित केलेले नाही असे घोषित करण्यात आले आहे. 0-डे म्हणून त्याची अंदाजित काळ्या बाजारातील किंमत $0-$5k एवढी होती.
आवृत्ती 3.3.1 वर अद्ययावत केल्याने ही समस्या सोडवता येऊ शकते. प्रभावित घटकाचा अपग्रेड करण्याची शिफारस केली जाते.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
उत्पादन
प्रकार
नाम
आवृत्ती:
परवाना
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔍VulDB विश्वसनीयता:: 🔍
CVSSv3
VulDB मेटा बेस स्कोअर: 5.2VulDB मेटा टेम्प स्कोअर: 5.1
VulDB बेस स्कोअर: 4.3
VulDB टेम्प स्कोअर: 4.0
VulDB सदिश: 🔍
VulDB विश्वसनीयता:: 🔍
संशोधक बेस स्कोअर: 6.1
संशोधक सदिश: 🔍
NVD बेस स्कोअर: 6.1
NVD सदिश: 🔍
CNA बेस स्कोअर: 4.3
CNA सदिश (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔍
VulDB टेम्प स्कोअर: 🔍
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 🔍
शोषण करणे:
नाम: Reflectedवर्ग: क्रॉस साइट स्क्रिप्टिंग / Reflected
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔍
स्थान: परिभाषित केलेले नाही
EPSS Score: 🔍
EPSS Percentile: 🔍
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔍
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: अपग्रेड करास्थान: 🔍
0 दिवसांचा वेळ: 🔍
अपग्रेड करा: PHPList 3.3.1
टाइमलाइन
17/03/2017 🔍28/03/2017 🔍
01/10/2017 🔍
05/06/2022 🔍
22/11/2022 🔍
स्त्रोत
सल्लागार: phplist 3.2.6: XSSसंशोधक: Tim Coen
संघटना: Curesec Research Team
स्थान: परिभाषित केलेले नाही
CVE: CVE-2017-20033 (🔍)
GCVE (CVE): GCVE-0-2017-20033
GCVE (VulDB): GCVE-100-98919
हे देखील पहा: 🔍
प्रवेश
तयार केली: 28/03/2017 05:36 PMअद्ययावत: 22/11/2022 11:44 AM
बदल: 28/03/2017 05:36 PM (54), 23/08/2020 09:49 AM (2), 05/06/2022 05:56 PM (3), 22/11/2022 11:29 AM (3), 22/11/2022 11:37 AM (27), 22/11/2022 11:44 AM (1)
संपूर्ण: 🔍
Cache ID: 253:CDA:103
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.