ShareThis Dashboard for Google Analytics Plugin bis 2.5.1 auf WordPress Status View ga_action Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in ShareThis Dashboard for Google Analytics Plugin bis 2.5.1 auf WordPress (WordPress Plugin) ausgemacht. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Verarbeitung der Komponente Status View. Mittels dem Manipulieren des Arguments ga_action mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Auswirkungen hat dies auf die Integrität. Die Zusammenfassung von CVE lautet:
The ShareThis Dashboard for Google Analytics WordPress plugin before 2.5.2 does not sanitise or escape the 'ga_action' parameter in the stats view before outputting it back in an attribute when the plugin is connected to a Google Analytics account, leading to a reflected Cross-Site Scripting issue which will be executed in the context of a logged in administratorDie Schwachstelle wurde am 30.08.2021 herausgegeben. Bereitgestellt wird das Advisory unter wpscan.com. Die Verwundbarkeit wird seit dem 14.01.2021 mit der eindeutigen Identifikation CVE-2021-24438 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.
Ein Aktualisieren auf die Version 2.5.2 vermag dieses Problem zu lösen.
Produkt
Typ
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 3.5VulDB Meta Temp Score: 3.4
VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: ShareThis Dashboard for Google Analytics Plugin 2.5.2
Timeline
14.01.2021 CVE zugewiesen30.08.2021 Advisory veröffentlicht
30.08.2021 VulDB Eintrag erstellt
01.09.2021 VulDB letzte Aktualisierung
Quellen
Advisory: wpscan.comStatus: Bestätigt
CVE: CVE-2021-24438 (🔒)
Eintrag
Erstellt: 30.08.2021 19:00Aktualisierung: 01.09.2021 16:30
Anpassungen: (2) source_cve_assigned source_cve_nvd_summary
Komplett: 🔍
Kommentare
Might our Artificial Intelligence support you?
Check our Alexa App!
Bisher keine Kommentare. Sprachen: . Bitte loggen Sie sich ein, um kommentieren zu können.