Social Pug - Easy Social Share Buttons 1.1.2/1.2.5 على WordPress /wp-admin/admin.php dpsp_message_class Reflected البرمجة عبر المواقع
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
الملخص
ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في Social Pug - Easy Social Share Buttons 1.1.2/1.2.5. المشكلة أثرت على دالة غير معروفة من الملف /wp-admin/admin.php. عند التلاعب بالوسيط dpsp_message_class من خلال إدخال %22%3E%3Cscript%3Ealert(1)%3C/script%3E ينتج البرمجة عبر المواقع (Reflected).
يمكن شن الهجوم هذا عن بعد. لا يتوفر أي استغلال.
يُفضل ترقية المكون المصاب.
التفاصيل
ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في Social Pug - Easy Social Share Buttons 1.1.2/1.2.5. المشكلة أثرت على دالة غير معروفة من الملف /wp-admin/admin.php. عند التلاعب بالوسيط dpsp_message_class من خلال إدخال %22%3E%3Cscript%3Ealert(1)%3C/script%3E ينتج البرمجة عبر المواقع (Reflected). تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-80. تم اكتشاف الخلل بتاريخ 24/02/2016. تم نشر الضعف 09/12/2016 بواسطة Tom Adams كـ Reflected XSS in Social Pug – Easy Social Share Buttons could allow an attacker to do almost anything an admin user can (WordPress plugin) كـ Mailinglist Post (Full-Disclosure). يمكن تحميل الاستشارة من هنا seclists.org. تم نشر هذه البيانات بموافقة الشركة المالكة.
يمكن شن الهجوم هذا عن بعد. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1059.007.
في حال وجود غير معرفة، يتم الإعلان عنه كـ غير معرفة. تمت معالجة الثغرة كاستغلال يوم-صفر خاص لمدة لا تقل عن 288 يومًا. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $0-$5k.
يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 1.2.6. يُفضل ترقية المكون المصاب.
منتج
النوع
الأسم
النسخة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.4VulDB الدرجة المؤقتة للميتا: 5.2
VulDB الدرجة الأساسية: 5.4
VulDB الدرجة المؤقتة: 5.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
باحث الدرجة الأساسية: 🔍
استغلال
الأسم: Reflectedالفئة: البرمجة عبر المواقع / Reflected
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
Google Hack: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
ترقية: Social Pug - Easy Social Share Buttons 1.2.6
الجدول الزمني
24/02/2016 🔍07/12/2016 🔍
08/12/2016 🔍
09/12/2016 🔍
11/12/2016 🔍
25/06/2019 🔍
المصادر
استشارة: Reflected XSS in Social Pug – Easy Social Share Buttons could allow an attacker to do almost anything an admin user can (WordPress plugin)باحث: Tom Adams
الحالة: مؤكد
منسق: 🔍
GCVE (VulDB): GCVE-100-94093
إدخال
تم الإنشاء: 11/12/2016 11:07 AMتم التحديث: 25/06/2019 05:46 PM
التغييرات: 11/12/2016 11:07 AM (56), 25/06/2019 05:46 PM (2)
كامل: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق