phpWebSite 0.9.0 day/fatcat_id/PAGE_ID/PDA_limit Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.1$0-$5k0.00

Eine problematische Schwachstelle wurde in phpWebSite 0.9.0 (Content Management System) ausgemacht. Betroffen davon ist ein unbekannter Prozess. Durch Beeinflussen des Arguments day/fatcat_id/PAGE_ID/PDA_limit mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-80. Das hat Auswirkungen auf die Integrität. CVE fasst zusammen:

Multiple cross-site scripting (XSS) vulnerabilities in phpWebSite 0.9.x and earlier allow remote attackers to execute arbitrary web script via (1) the day parameter in the calendar module, (2) the fatcat_id parameter in the fatcat module, (3) the PAGE_id parameter in the pagemaster module, (4) the PDA_limit parameter in the search, and (5) possibly other parameters in the calendar, fatcat, and pagemaster modules.

Die Schwachstelle wurde am 20.10.2003 durch Lorenzo Hernandez Garcia-Hierro in Form eines bestätigten Advisories (CERT.org) veröffentlicht. Das Advisory kann von kb.cert.org heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 03.09.2003 als CVE-2003-0736 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.

Für den Vulnerability Scanner Nessus wurde am 11.08.2003 ein Plugin mit der ID 11816 (phpWebSite < 0.9.x Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt.

Ein Upgrade vermag dieses Problem zu beheben. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 2023 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (12894) und Tenable (11816) dokumentiert. Die Schwachstellen 17036, 20887, 20889 und 20890 sind ähnlich.

Produktinfo

Typ

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.1

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 11816
Nessus Name: phpWebSite < 0.9.x Multiple Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍
TippingPoint: 🔍

Timelineinfo

10.08.2003 🔍
11.08.2003 +1 Tage 🔍
11.08.2003 +0 Tage 🔍
03.09.2003 +23 Tage 🔍
20.10.2003 +47 Tage 🔍
20.10.2003 +0 Tage 🔍
09.01.2007 +1177 Tage 🔍
15.08.2014 +2775 Tage 🔍
13.07.2019 +1793 Tage 🔍

Quelleninfo

Advisory: kb.cert.org
Person: Lorenzo Hernandez Garcia-Hierro
Status: Bestätigt

CVE: CVE-2003-0736 (🔍)
X-Force: 12894
Vulnerability Center: 13945 - phpWebSite 0.9.3 and earlier Cross Site Scripting Vulnerabilities, Medium
SecurityFocus: 8393 - PHP Website Multiple Module Cross-Site Scripting Vulnerability
OSVDB: 3845 - phpWebSite fatcat Module fatcat_id Parameter XSS

Siehe auch: 🔍

Eintraginfo

Erstellt: 15.08.2014 14:32
Aktualisierung: 13.07.2019 14:39
Anpassungen: 15.08.2014 14:32 (64), 13.07.2019 14:39 (7)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!