VDB-1910 · CVE-2005-4294 · BID 15882

Alkacon OpenCms bis 6.0.2 login Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.7$0-$5k0.00

OpenCms ist ein umfassendes, in Java und XML realisiertes Content Management System für Unternehmen, das komplett aus Open Source-Komponenten aufgebaut ist. Marc Ruef des schweizer Sicherheitsunternehmens scip AG entdeckte eine kritische Cross Site Scripting-Schwachstelle in /system/login. Dort kann für das Feld des Benutzernamens eine entsprechende Script-Injection umgesetzt werden. Ein Angreifer kann diesen Umstand nutzen, um aktiven Code im Kontext des Webbrowsers des Nutzers ausführen zu lassen. Technische Details sind im Original-Advisory enthalten und ein Exploit für das Attack Tool Kit Exploiting Framework vorgesehen. Der Fehler wurde in der jüngsten OpenCms Version 6.0.2 behoben.

Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.

Produktinfo

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.7

VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Patch: alkacon.com

Timelineinfo

27.10.2005 🔍
10.11.2005 +14 Tage 🔍
22.11.2005 +12 Tage 🔍
15.12.2005 +23 Tage 🔍
15.12.2005 +0 Tage 🔍
15.12.2005 +0 Tage 🔍
15.12.2005 +0 Tage 🔍
15.12.2005 +0 Tage 🔍
15.12.2005 +0 Tage 🔍
16.12.2005 +0 Tage 🔍
16.12.2005 +0 Tage 🔍
08.10.2018 +4679 Tage 🔍

Quelleninfo

Advisory: vuldb.com
Person: Marc Ruef
Firma: scip AG
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2005-4294 (🔍)
SecurityTracker: 1015365
SecurityFocus: 15882 - Alkacon OpenCMS Login Cross-Site Scripting Vulnerability
Secunia: 18046 - Alkacon OpenCms Login Page Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 21776 - Alkacon OpenCms Login Page ocUname Parameter XSS
Vupen: ADV-2005-2923

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 22.11.2005 10:09
Aktualisierung: 08.10.2018 15:44
Anpassungen: 22.11.2005 10:09 (71), 08.10.2018 15:44 (10)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!