RSA ACE/Agent bis 5.1.1 webauthentication GetPic Cross Site Scripting
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
5.8 | $0-$5k | 0.00 |
Die SecureID-Lösung der Firma RSA Security wird für die strenge Authentisierung von Benutzern mittels Token eingesetzt. SEC Consult fand einen Fehler in den Versionen 5.1.1. So ist über die Eingabe einer URL in der Form von http://[host]/webauthentication?GetPic?image=[XSS] das Umsetzen von Cross Site Scripting-Attacken möglich. RSA empfiehlt bis auf weiteres lediglich, diese Anrgiffsform mit einem Proxy-Element zu verhindern.
Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem Benutzer in vermeintlich hochsicheren Umgebungen gefährdet sind, muss man das Risiko als gegeben akzeptieren.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.8
VulDB Base Score: 6.3
VulDB Temp Score: 5.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Patch: rsasecurity.com
Timeline
01.10.2005 🔍25.10.2005 🔍
26.10.2005 🔍
26.10.2005 🔍
26.10.2005 🔍
27.10.2005 🔍
27.10.2005 🔍
31.10.2005 🔍
05.07.2019 🔍
Quellen
Hersteller: rsa.comAdvisory: secunia.com⛔
Person: Bernhard Mueller (Agent)
Firma: SEC Consult
Status: Nicht definiert
CVE: CVE-2005-3329 (🔍)
SecurityTracker: 1015105
SecurityFocus: 15206 - RSA ACE Agent Image Cross-Site Scripting Vulnerability
Secunia: 17331 - RSA ACE/Agent for Web "image" Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 20317 - RSA ACE/Agent for Web image onError Parameter XSS
Vupen: ADV-2005-2203
Eintrag
Erstellt: 31.10.2005 10:08Aktualisierung: 05.07.2019 07:31
Anpassungen: 31.10.2005 10:08 (75), 05.07.2019 07:31 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.