VDB-1840 · CVE-2005-3329 · BID 15206

RSA ACE/Agent bis 5.1.1 webauthentication GetPic Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.8$0-$5k0.00

Die SecureID-Lösung der Firma RSA Security wird für die strenge Authentisierung von Benutzern mittels Token eingesetzt. SEC Consult fand einen Fehler in den Versionen 5.1.1. So ist über die Eingabe einer URL in der Form von http://[host]/webauthentication?GetPic?image=[XSS] das Umsetzen von Cross Site Scripting-Attacken möglich. RSA empfiehlt bis auf weiteres lediglich, diese Anrgiffsform mit einem Proxy-Element zu verhindern.

Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem Benutzer in vermeintlich hochsicheren Umgebungen gefährdet sind, muss man das Risiko als gegeben akzeptieren.

Produktinfo

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.8

VulDB Base Score: 6.3
VulDB Temp Score: 5.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Firewall
Status: 🔍

0-Day Time: 🔍

Patch: rsasecurity.com

Timelineinfo

01.10.2005 🔍
25.10.2005 +24 Tage 🔍
26.10.2005 +1 Tage 🔍
26.10.2005 +0 Tage 🔍
26.10.2005 +0 Tage 🔍
27.10.2005 +0 Tage 🔍
27.10.2005 +0 Tage 🔍
31.10.2005 +4 Tage 🔍
05.07.2019 +4995 Tage 🔍

Quelleninfo

Hersteller: rsa.com

Advisory: secunia.com
Person: Bernhard Mueller (Agent)
Firma: SEC Consult
Status: Nicht definiert

CVE: CVE-2005-3329 (🔍)
SecurityTracker: 1015105
SecurityFocus: 15206 - RSA ACE Agent Image Cross-Site Scripting Vulnerability
Secunia: 17331 - RSA ACE/Agent for Web "image" Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 20317 - RSA ACE/Agent for Web image onError Parameter XSS
Vupen: ADV-2005-2203

Eintraginfo

Erstellt: 31.10.2005 10:08
Aktualisierung: 05.07.2019 07:31
Anpassungen: 31.10.2005 10:08 (75), 05.07.2019 07:31 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!