2kb Amazon Affiliates Store Plugin bis 2.1.0 auf WordPress wp-admin/admin.php page/kbAction Cross Site Scripting

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
4.9$0-$5k0.00

Es wurde eine Schwachstelle in 2kb Amazon Affiliates Store Plugin bis 2.1.0 auf WordPress (WordPress Plugin) ausgemacht. Sie wurde als problematisch eingestuft. Es betrifft unbekannter Code der Datei wp-admin/admin.php. Durch Beeinflussen des Arguments page/kbAction durch Parameter kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Auswirkungen hat dies auf die Integrität.

Gefunden wurde das Problem am 20.09.2017. Die Schwachstelle wurde am 28.09.2017 durch rsanchezr (Website) publiziert. Bereitgestellt wird das Advisory unter wordpress.org. Die Identifikation der Schwachstelle wird seit dem 20.09.2017 mit CVE-2017-14622 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.

Vor einer Veröffentlichung handelte es sich 7 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.

Ein Aktualisieren auf die Version 2.1.1 vermag dieses Problem zu lösen.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 101050) dokumentiert.

Produktinfoedit

Typ

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.2
VulDB Meta Temp Score: 4.9

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.1
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Klasse: Cross Site Scripting
CWE: CWE-79
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Amazon Affiliates Store Plugin 2.1.1

Timelineinfoedit

20.09.2017 🔍
20.09.2017 +0 Tage 🔍
27.09.2017 +7 Tage 🔍
28.09.2017 +1 Tage 🔍
28.09.2017 +0 Tage 🔍
28.09.2017 +0 Tage 🔍
14.01.2021 +1204 Tage 🔍

Quelleninfoedit

Advisory: wordpress.org
Person: rsanchezr
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2017-14622 (🔍)
SecurityFocus: 101050 - WordPress 2kb Amazon Affiliates Store Plugin Multiple Cross Site Scripting Vulnerabilities

Eintraginfoedit

Erstellt: 28.09.2017 11:13
Aktualisierung: 14.01.2021 15:44
Anpassungen: (2) advisory_person_name vulnerability_cvss2_nvd_basescore
Komplett: 🔍

Kommentare

Do you want to use VulDB in your project?

Use the official API to access entries easily!