Campcodes Retro Cellphone Online Store 1.0 add_user_modal.php un Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.6 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in Campcodes Retro Cellphone Online Store 1.0 gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um unbekannter Programmcode der Datei /admin/add_user_modal.php. Dank der Manipulation des Arguments un mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Wie sich eine durchgeführte Attacke auswirkt, ist soweit nicht bekannt.
Die Schwachstelle wurde am 13.07.2023 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2023-3660 statt. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Unter github.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt. Potentiell verwundbare Systeme können mit dem Google Dork inurl:admin/add_user_modal.php gefunden werden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Von weiterem Interesse können die folgenden Einträge sein: VDB-230580, VDB-232351, VDB-232752 und VDB-234226.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.6VulDB Meta Temp Score: 3.6
VulDB Base Score: 2.4
VulDB Temp Score: 2.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔒
CNA Base Score: 2.4
CNA Vector (VulDB): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
13.07.2023 Advisory veröffentlicht13.07.2023 CVE zugewiesen
13.07.2023 VulDB Eintrag erstellt
05.08.2023 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: github.comStatus: Nicht definiert
CVE: CVE-2023-3660 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔒
Eintrag
Erstellt: 13.07.2023 11:56Aktualisierung: 05.08.2023 08:42
Anpassungen: 13.07.2023 11:56 (40), 13.07.2023 11:57 (1), 05.08.2023 08:41 (2), 05.08.2023 08:42 (28)
Komplett: 🔍
Einsender: qiuyuting
Cache ID: 3:184:103
Submit
Akzeptiert
- Submit #180815: XSS injection vulnerability exists in Retro Cellphone Online Store (von qiuyuting)
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.