S-CMS 5.0 Build 20220328 Contact Information Page Make a Call Cross Site Scripting

EintragHistoryDiffjsonxmlCTI

In S-CMS 5.0 Build 20220328 wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Verarbeitung der Komponente Contact Information Page. Durch Manipulation des Arguments Make a Call mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die Schwäche wurde am 09.12.2022 öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird als CVE-2022-4377 geführt. Der Angriff kann über das Netzwerk passieren. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von github.com geschehen. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Feld	09.12.2022 08:26	02.01.2023 09:06
name	S-CMS	S-CMS
version	5.0 Build 20220328	5.0 Build 20220328
component	Contact Information Page	Contact Information Page
argument	Make a Call	Make a Call
cwe	79 (Cross Site Scripting)	79 (Cross Site Scripting)
risk	1	1
cvss3_vuldb_av	N	N
cvss3_vuldb_ac	L	L
cvss3_vuldb_pr	L	L
cvss3_vuldb_ui	R	R
cvss3_vuldb_s	U	U
cvss3_vuldb_c	N	N
cvss3_vuldb_i	L	L
cvss3_vuldb_a	N	N
cvss3_vuldb_e	P	P
cvss3_vuldb_rc	R	R
url	https://github.com/mengdeyin/main/blob/main/README.md	https://github.com/mengdeyin/main/blob/main/README.md
availability	1	1
publicity	1	1
url	https://github.com/mengdeyin/main/blob/main/README.md	https://github.com/mengdeyin/main/blob/main/README.md
cve	CVE-2022-4377	CVE-2022-4377
responsible	VulDB	VulDB
date	1670540400 (09.12.2022)	1670540400 (09.12.2022)
type	Content Management System	Content Management System
cvss2_vuldb_av	N	N
cvss2_vuldb_ac	L	L
cvss2_vuldb_ci	N	N
cvss2_vuldb_ii	P	P
cvss2_vuldb_ai	N	N
cvss2_vuldb_e	POC	POC
cvss2_vuldb_rc	UR	UR
cvss2_vuldb_au	S	S
cvss2_vuldb_rl	ND	ND
cvss3_vuldb_rl	X	X
cvss2_vuldb_basescore	4.0	4.0
cvss2_vuldb_tempscore	3.4	3.4
cvss3_vuldb_basescore	3.5	3.5
cvss3_vuldb_tempscore	3.2	3.2
cvss3_meta_basescore	3.5	4.1
cvss3_meta_tempscore	3.2	4.0
price_0day	$0-$5k	$0-$5k
cve_assigned		1670540400 (09.12.2022)
cve_nvd_summary		A vulnerability was found in S-CMS 5.0 Build 20220328. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the component Contact Information Page. The manipulation of the argument Make a Call leads to cross site scripting. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-215197 was assigned to this vulnerability.
cvss3_nvd_av		N
cvss3_nvd_ac		L
cvss3_nvd_pr		L
cvss3_nvd_ui		R
cvss3_nvd_s		C
cvss3_nvd_c		L
cvss3_nvd_i		L
cvss3_nvd_a		N
cvss3_cna_av		N
cvss3_cna_ac		L
cvss3_cna_pr		L
cvss3_cna_ui		R
cvss3_cna_s		U
cvss3_cna_c		N
cvss3_cna_i		L
cvss3_cna_a		N
cve_cna		VulDB
cvss3_nvd_basescore		5.4
cvss3_cna_basescore		3.5

◂ Zurück Übersicht Weiter ▸

Do you need the next level of professionalism?

Upgrade your account now!