Es wurde eine Schwachstelle in kakwa LdapCherry bis 0.x gefunden. Sie wurde als problematisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente URL Handler. Durch Manipulieren mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Die Schwachstelle wurde am 05.01.2023 als 16 publik gemacht. Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2019-25095 geführt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind keine technische Details verfügbar. Es ist soweit kein Exploit verfügbar. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle. Er gilt als nicht definiert. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Ein Aktualisieren auf die Version 1.0.0 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Der Patch wird als 6f98076281e9452fdb1adcd1bcbb70a6f968ade9 bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
54 weitere Einträge werden nicht mehr angezeigt