CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
3.6 | $0-$5k | 0.12 |
Es wurde eine problematische Schwachstelle in PbootCMS 3.2.5-20230421 entdeckt. Dabei betrifft es ein unbekannter Prozess der Datei /admin.php?p=/Area/index#tab=t2. Durch die Manipulation des Arguments name
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird.
Die Schwachstelle wurde am 29.01.2024 publik gemacht. Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2024-1018 geführt. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.
Der Exploit wird unter github.com bereitgestellt. Er wird als proof-of-concept gehandelt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Produkt
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.6VulDB Meta Temp Score: 3.6
VulDB Base Score: 2.4
VulDB Temp Score: 2.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔒
CNA Base Score: 2.4
CNA Vector (VulDB): 🔒
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
29.01.2024 Advisory veröffentlicht29.01.2024 CVE zugewiesen
29.01.2024 VulDB Eintrag erstellt
21.02.2024 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: github.comStatus: Nicht definiert
CVE: CVE-2024-1018 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 29.01.2024 11:26Aktualisierung: 21.02.2024 13:02
Anpassungen: 29.01.2024 11:26 (40), 21.02.2024 12:54 (2), 21.02.2024 13:02 (28)
Komplett: 🔍
Einsender: Murasaki
Cache ID: 18:13C:103
Submit
Akzeptiert
- Submit #273238: https://www.pbootcms.com/ CMS Pbootcms V3.2.5-20230421 XSS (von Murasaki)
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.