Discourse DiscoTOC bis 2.0.x table-of-contents Theme Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.4$0-$5k0.03

Eine problematische Schwachstelle wurde in Discourse DiscoTOC bis 2.0.x entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente table-of-contents Theme. Durch Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Wie sich eine durchgeführte Attacke auswirkt, ist soweit nicht bekannt.

Die Schwachstelle wurde am 05.10.2022 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2022-39270 statt. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.

Ein Upgrade auf die Version 2.1.0 vermag dieses Problem zu beheben.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 4.4
VulDB Meta Temp Score: 4.4

VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 5.4
CNA Vector (GitHub, Inc.): 🔒

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: DiscoTOC 2.1.0
Patch: github.com

Timelineinfo

02.09.2022 CVE zugewiesen
05.10.2022 +33 Tage Advisory veröffentlicht
05.10.2022 +0 Tage VulDB Eintrag erstellt
30.10.2022 +25 Tage VulDB letzte Aktualisierung

Quelleninfo

Advisory: f80c215a283cd045d2a371403e6eba88b2911192
Status: Bestätigt

CVE: CVE-2022-39270 (🔒)

Eintraginfo

Erstellt: 05.10.2022 22:28
Aktualisierung: 30.10.2022 10:01
Anpassungen: 05.10.2022 22:28 (38), 30.10.2022 09:57 (4), 30.10.2022 10:01 (12)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!