Microsoft ASP.NET bis 1.1 Unicode-Konvertierung Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $5k-$25k | 0.00 |
ASP.NET ist eine serverseitige Technologie von Microsoft zum Erstellen von Web-Anwendungen auf Basis des Microsoft.NET-Frameworks. Andrey Rusyaev entdeckte einen Fehler in "Request Validation" und HttpServerUtility.HtmlEncode bei der Verarbeitung von Sonderzeichen in Unicode-Zeichenketten. Ein Angreifer sieht sich darüber in der Lage, Cross Site Scripting-Attacken umzusetzen. Ausführliche technische Details wurden von Rusyaev im Advisory genannt. Als Workaround wird empfohlen, die Rückgaben ebenfalls auf Unicode zu setzen, was standardmässig schon der Fall ist. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (19395) und Tenable (20258) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 24086.
Für den Vulnerability Scanner Nessus wurde am 07.12.2005 ein Plugin mit der ID 20258 (Fedora Core 3 : perl-5.8.5-18.FC3 (2005-1116)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet und im Kontext l ausgeführt.
Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-358
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 20258
Nessus Name: Fedora Core 3 : perl-5.8.5-18.FC3 (2005-1116)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DisableStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Patch: windowsupdate.microsoft.com
Timeline
09.02.2005 🔍16.02.2005 🔍
16.02.2005 🔍
16.02.2005 🔍
16.02.2005 🔍
16.02.2005 🔍
18.02.2005 🔍
18.02.2005 🔍
28.02.2005 🔍
01.12.2005 🔍
07.12.2005 🔍
04.06.2006 🔍
01.07.2019 🔍
Quellen
Hersteller: microsoft.comAdvisory: it-project.ru
Person: Andrey Rusyaev
Firma: FESU (Far Eastern State University), Vladivostok,
Status: Nicht definiert
CVE: CVE-2005-0452 (🔍)
X-Force: 19395
Vulnerability Center: 11758 - Microsoft ASP.NET 1.0 \x26 1.1 Multiple XSS, Medium
SecurityFocus: 12574 - Microsoft ASP.NET Unicode Character Conversion Multiple Cross-Site Scripting Vulnerabilities
Secunia: 14214 - Microsoft ASP.NET Unicode Conversion Cross-Site Scripting, Less Critical
OSVDB: 13927 - Microsoft ASP.NET Request Validation Mechanism Bypass
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 28.02.2005 10:49Aktualisierung: 01.07.2019 15:27
Anpassungen: 28.02.2005 10:49 (89), 01.07.2019 15:27 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.