Pro2col StingRay FTS Username Cross-Site-Scripting

EintragHistoryDiffjsonxmlCTI

Eine Schwachstelle wurde in Pro2col Stingray FTS entdeckt. Sie wurde als problematisch eingestuft. Hierbei geht es um eine nicht exakt ausgemachte Funktion. Durch die Manipulation des Arguments Username mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-80. Die Schwachstelle wurde am 12.09.2008 von Marc Ruef durch scip AG mittels Mailinglist Post (Bugtraq) herausgegeben. Bereitgestellt wird das Advisory unter seclists.org. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2008-10001 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus. Er wird als nicht definiert gehandelt. Während seiner Zeit als 0-Day erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Feld	12.09.2008 16:47	07.06.2019 14:47	28.01.2022 12:43
smss	smSS 19. September 2008	smSS 19. September 2008	smSS 19. September 2008
vendor	Pro2col	Pro2col	Pro2col
name	Stingray FTS	Stingray FTS	Stingray FTS
argument	Username	Username	Username
risk	1	1	1
simplicity	80	80	80
popularity	80	80	80
cvss2_vuldb_basescore	4.6	4.6	4.6
cvss2_vuldb_tempscore	4.0	4.0	4.0
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	H	H	H
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss3_meta_basescore	5.5	5.5	5.5
cvss3_meta_tempscore	5.3	5.3	5.3
cvss3_vuldb_basescore	5.5	5.5	5.5
cvss3_vuldb_tempscore	5.3	5.3	5.3
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_ui	R	R	R
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
date	1221177600 (12.09.2008)	1221177600 (12.09.2008)	1221177600 (12.09.2008)
location	Bugtraq	Bugtraq	Bugtraq
type	Mailinglist Post	Mailinglist Post	Mailinglist Post
url	http://seclists.org/bugtraq/2008/Sep/0157.html	http://seclists.org/bugtraq/2008/Sep/0157.html	http://seclists.org/bugtraq/2008/Sep/0157.html
person_name	Marc Ruef	Marc Ruef	Marc Ruef
person_mail	maru@**.	maru@**.	maru@**.
person_website	https://www.scip.ch	https://www.scip.ch	https://www.scip.ch
company_name	scip AG	scip AG	scip AG
price_0day	$5k-$25k	$5k-$25k	$5k-$25k
name	Upgrade	Upgrade	Upgrade
title	Pro2col StingRay FTS Username Cross-Site-Scripting	Pro2col StingRay FTS Username Cross-Site-Scripting	Pro2col StingRay FTS Username Cross-Site-Scripting
affected	Stringray FTS	Stringray FTS	Stringray FTS
description	Stingray FTS ist ein File Transfer Server, der zum Verschieben von Dateien über beliebige Netzwerke verwendet werden kann. Marc Ruef der scip AG fand eine Schwachstelle, bei der durch fehlende Eingabevalidierung im Login-Dokument beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Dadurch lassen sich klassische webbasierte Angriffsvektoren ausnutzen.	Stingray FTS ist ein File Transfer Server, der zum Verschieben von Dateien über beliebige Netzwerke verwendet werden kann. Marc Ruef der scip AG fand eine Schwachstelle, bei der durch fehlende Eingabevalidierung im Login-Dokument beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Dadurch lassen sich klassische webbasierte Angriffsvektoren ausnutzen.	Stingray FTS ist ein File Transfer Server, der zum Verschieben von Dateien über beliebige Netzwerke verwendet werden kann. Marc Ruef der scip AG fand eine Schwachstelle, bei der durch fehlende Eingabevalidierung im Login-Dokument beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Dadurch lassen sich klassische webbasierte Angriffsvektoren ausnutzen.
expert	Eine klassische Lücke mit klassischem Impact: Während die Lücke sicherlich nicht hochkritisch einzustufen ist, sollten Administratoren betroffener Systeme sich bereithalten um einen allfälligen Patch zeitnah einspielen zu können.	Eine klassische Lücke mit klassischem Impact: Während die Lücke sicherlich nicht hochkritisch einzustufen ist, sollten Administratoren betroffener Systeme sich bereithalten um einen allfälligen Patch zeitnah einspielen zu können.	Eine klassische Lücke mit klassischem Impact: Während die Lücke sicherlich nicht hochkritisch einzustufen ist, sollten Administratoren betroffener Systeme sich bereithalten um einen allfälligen Patch zeitnah einspielen zu können.
cvss2_vuldb_e	ND	ND	ND
cvss2_vuldb_rl	OF	OF	OF
cvss2_vuldb_rc	ND	ND	ND
cvss3_vuldb_e	X	X	X
cvss3_vuldb_rl	O	O	O
cvss3_vuldb_rc	X	X	X
cvss2_vuldb_au	S	S	S
cvss3_vuldb_pr	L	L	L
cwe	0	80 (Cross Site Scripting)	80 (Cross Site Scripting)
cve			CVE-2008-10001
cve_cna			VulDB
responsible			VulDB
eol			1

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!