Arduino Create Agent bis 1.3.5 Web Interface /certificate.crt Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in Arduino Create Agent bis 1.3.5 entdeckt. Sie wurde als problematisch eingestuft. Es geht hierbei um eine unbekannte Funktionalität der Datei /certificate.crt der Komponente Web Interface. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt. Die Zusammenfassung von CVE lautet:
The Arduino Create Agent allows users to use the Arduino Create applications to upload code to any USB connected Arduino board directly from the browser. A vulnerability in versions prior to 1.3.6 affects the endpoint `/certificate.crt` and the way the web interface of the ArduinoCreateAgent handles custom error messages. An attacker that is able to persuade a victim into clicking on a malicious link can perform a Reflected Cross-Site Scripting attack on the web interface of the create agent, which would allow the attacker to execute arbitrary browser client side code. Version 1.3.6 contains a fix for the issue.Die Schwachstelle wurde am 14.12.2023 als GHSA-j5hc-wx84-844h herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 24.11.2023 mit der eindeutigen Identifikation CVE-2023-49296 gehandelt. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.
Ein Aktualisieren auf die Version 1.3.6 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 9a0e582bb8a1ff8e70d202943ddef8625ccefcc8 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.
Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-261311, VDB-261312, VDB-262461 und VDB-263163.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.5
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔒
CNA Base Score: 6.3
CNA Vector (GitHub, Inc.): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Create Agent 1.3.6
Patch: 9a0e582bb8a1ff8e70d202943ddef8625ccefcc8
Timeline
24.11.2023 CVE zugewiesen13.12.2023 VulDB Eintrag erstellt
14.12.2023 Advisory veröffentlicht
10.01.2024 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: GHSA-j5hc-wx84-844hStatus: Bestätigt
CVE: CVE-2023-49296 (🔒)
Siehe auch: 🔒
Eintrag
Erstellt: 14.12.2023 00:26Aktualisierung: 10.01.2024 13:40
Anpassungen: 14.12.2023 00:26 (54), 10.01.2024 13:40 (11)
Komplett: 🔍
Cache ID: 3:8BC:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.