CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
5.7 | $0-$5k | 0.00 |
OpenCms ist ein umfassendes, in Java und XML realisiertes Content Management System für Unternehmen, das komplett aus Open Source-Komponenten aufgebaut ist. Marc Ruef des schweizer Sicherheitsunternehmens scip AG entdeckte eine kritische Cross Site Scripting-Schwachstelle in /system/login. Dort kann für das Feld des Benutzernamens eine entsprechende Script-Injection umgesetzt werden. Ein Angreifer kann diesen Umstand nutzen, um aktiven Code im Kontext des Webbrowsers des Nutzers ausführen zu lassen. Technische Details sind im Original-Advisory enthalten und ein Exploit für das Attack Tool Kit Exploiting Framework vorgesehen. Der Fehler wurde in der jüngsten OpenCms Version 6.0.2 behoben.
Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.7
VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Patch: alkacon.com
Timeline
27.10.2005 🔍10.11.2005 🔍
22.11.2005 🔍
15.12.2005 🔍
15.12.2005 🔍
15.12.2005 🔍
15.12.2005 🔍
15.12.2005 🔍
15.12.2005 🔍
16.12.2005 🔍
16.12.2005 🔍
08.10.2018 🔍
Quellen
Advisory: vuldb.comPerson: Marc Ruef
Firma: scip AG
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2005-4294 (🔍)
SecurityTracker: 1015365
SecurityFocus: 15882 - Alkacon OpenCMS Login Cross-Site Scripting Vulnerability
Secunia: 18046 - Alkacon OpenCms Login Page Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 21776 - Alkacon OpenCms Login Page ocUname Parameter XSS
Vupen: ADV-2005-2923
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 22.11.2005 10:09Aktualisierung: 08.10.2018 15:44
Anpassungen: 22.11.2005 10:09 (71), 08.10.2018 15:44 (10)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.