CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
4.4	$0-$5k	0.00

Eine Schwachstelle wurde in ILIAS bis 5.1.20 entdeckt. Sie wurde als problematisch eingestuft. Hierbei geht es um die Funktion setParameter der Datei Services/MediaObjects/classes/class.ilMediaItem.php der Komponente Media Objects. Durch das Manipulieren durch Parameter kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:

Stored XSS vulnerability in the Media Objects component of ILIAS before 5.1.21 and 5.2.x before 5.2.9 allows an authenticated user to inject JavaScript to gain administrator privileges, related to the setParameter function in Services/MediaObjects/classes/class.ilMediaItem.php.

Die Entdeckung des Problems geschah am 17.10.2017. Die Schwachstelle wurde am 17.10.2017 (Website) herausgegeben. Das Advisory findet sich auf openwall.com. Die Verwundbarkeit wird seit dem 17.10.2017 mit der eindeutigen Identifikation CVE-2017-15538 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert eine einfache Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet.

Ein Suchen von inurl:Services/MediaObjects/classes/class.ilMediaItem.php lässt dank Google Hacking potentiell verwundbare Systeme finden.

Ein Aktualisieren auf die Version 5.1.21 vermag dieses Problem zu lösen.

Von weiterem Interesse können die folgenden Einträge sein: VDB-9550, VDB-216120 und VDB-253976.

Produktinfo

Name

• ILIAS

Version

• 5.1.0
• 5.1.1
• 5.1.2
• 5.1.3
• 5.1.4
• 5.1.5
• 5.1.6
• 5.1.7
• 5.1.8
• 5.1.9
• 5.1.10
• 5.1.11
• 5.1.12
• 5.1.13
• 5.1.14
• 5.1.15
• 5.1.16
• 5.1.17
• 5.1.18
• 5.1.19
• 5.1.20

Lizenz

• open-source

CPE 2.3info

• 🔍
• 🔍
• 🔍

CPE 2.2info

• 🔍
• 🔍
• 🔍

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.4
VulDB Meta Temp Score: 4.4

VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.4
NVD Vector: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: Stored
Klasse: Cross Site Scripting / Stored
CWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

OpenVAS ID: 800689
OpenVAS Name: ILIAS XSS Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: ILIAS 5.1.21
Patch: github.com

Timelineinfo

17.10.2017 🔍
17.10.2017 +0 Tage 🔍
17.10.2017 +0 Tage 🔍
17.10.2017 +0 Tage 🔍
18.10.2017 +1 Tage 🔍
03.01.2023 +1903 Tage 🔍

Quelleninfo

Advisory: b2a4660afec1e87d41c83c8e381f549bc6dfc70f
Status: Nicht definiert

CVE: CVE-2017-15538 (🔍)
Siehe auch: 🔍

Eintraginfo

Erstellt: 18.10.2017 08:56
Aktualisierung: 03.01.2023 18:38
Anpassungen: 18.10.2017 08:56 (64), 25.11.2019 16:32 (1), 03.01.2023 18:38 (5)
Komplett: 🔍
Cache ID: 18:8DF:103

Diskussion

Want to stay up to date on a daily basis?

Enable the mail alert feature now!