Google Chrome 28.0.1500.95 browser.cookie تزوير طلبات عبر المواقع

CVSS الدرجة المؤقتة للميتا	سعر الإكسبلويت الحالي (≈)	درجة اهتمام CTI
4.8	$0-$5k	0.00

تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في Google Chrome 28.0.1500.95. تتعلق المشكلة بالوظيفة $software_function في الملف browser.cookie. عند التلاعب ينتج تزوير طلبات عبر المواقع. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-352. المشكلة تم الإبلاغ عنها بتاريخ 10/10/2013 بواسطة Stefan Bühler كـ Mailinglist Post (oss-sec). تمت مشاركة التنبيه للتنزيل على seclists.org. تم إصدار المعلومات للعامة دون تنسيق مع الشركة المنتجة.

تُعرف هذه الثغرة باسم CVE-2013-6166. تم إصدار CVE في 16/10/2013. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم.

إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. تم توفير الاستغلال للتنزيل على exploit-db.com. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $25k-$100k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 69423. تم إسناده إلى عائلة Windows.

النسخة الجديدة متوفرة الآن للتحميل من chrome.google.com. التحديث متوفر للتنزيل على code.google.com. من المستحسن تطبيق تحديث لإصلاح هذه المشكلة.

الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: X-Force (88109), Vulnerability Center (SBV-43848) , Tenable (69423).

منتجالمعلومات

النوع

Web Browser

المجهز

Google

الأسم

Chrome

النسخة

28.0.1500.95

الرخصة

مجاني

موقع إلكتروني

المجهز: https://www.google.com/
منتج: https://www.google.com/chrome/

CPE 2.3المعلومات

🔍

CPE 2.2المعلومات

🔍

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 5.3
VulDB الدرجة المؤقتة للميتا: 4.8

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.8
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

متجه	التعقيد	توثيق	السرية	الأمانة	التوفر
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تزوير طلبات عبر المواقع
CWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Day	افتح	افتح	افتح	افتح
اليوم	افتح	افتح	افتح	افتح

Nessus ID: 69423
Nessus الأسم: Google Chrome < 29.0.1547.57 Multiple Vulnerabilities
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍

OpenVAS ID: 801329
OpenVAS الأسم: Google Chrome Cross-Site Request Forgery (CSRF) Vulnerability (Windows)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

Exploit-DB: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: تصحيح
الحالة: 🔍

زمن الهجوم الفوري: 🔍

ترقية: chrome.google.com
تصحيح: code.google.com

الجدول الزمنيالمعلومات

04/04/2013 🔍
10/10/2013 +189 أيام 🔍
16/10/2013 +6 أيام 🔍
22/10/2013 +6 أيام 🔍
15/02/2014 +116 أيام 🔍
01/04/2014 +45 أيام 🔍
15/12/2024 +3911 أيام 🔍

المصادرالمعلومات

المجهز: google.com
منتج: google.com

استشارة: seclists.org
باحث: Stefan Bühler
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2013-6166 (🔍)
GCVE (CVE): GCVE-0-2013-6166
GCVE (VulDB): GCVE-100-10867

OVAL: 🔍

X-Force: 88109
OSVDB: 98762
Vulnerability Center: 43848 - Google Chrome Before 29.0.1547.57 Remote Code Execution Vulnerability via a Crafted Parameter, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 22/10/2013 05:42 PM
تم التحديث: 15/12/2024 04:13 PM
التغييرات: 22/10/2013 05:42 PM (73), 24/05/2017 10:54 AM (2), 31/05/2021 02:46 PM (3), 15/12/2024 04:13 PM (23)
كامل: 🔍
المتعهد:
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!