eolinker apinto-dashboard /login callback Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.8$0-$5k0.02

Es wurde eine problematische Schwachstelle in eolinker apinto-dashboard - die betroffene Version ist unbekannt - (Forum Software) ausgemacht. Es betrifft eine unbekannte Funktion der Datei /login. Durch Beeinflussen des Arguments callback mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird.

Die Schwachstelle wurde am 01.11.2022 publik gemacht. Das Advisory kann von c2.im5i.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2022-3804 geführt. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.

Der Exploit wird unter c2.im5i.com bereitgestellt. Er wird als proof-of-concept gehandelt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Produktinfo

Typ

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.9
VulDB Meta Temp Score: 4.8

VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.1
NVD Vector: 🔍

CNA Base Score: 4.3
CNA Vector (VulDB): 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfo

01.11.2022 🔍
01.11.2022 +0 Tage 🔍
01.11.2022 +0 Tage 🔍
30.11.2022 +29 Tage 🔍

Quelleninfo

Advisory: c2.im5i.com
Status: Nicht definiert

CVE: CVE-2022-3804 (🔍)
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 01.11.2022 16:55
Aktualisierung: 30.11.2022 16:13
Anpassungen: 01.11.2022 16:55 (41), 30.11.2022 16:06 (3), 30.11.2022 16:13 (21)
Komplett: 🔍
Einsender: Tomy

Submitinfo

Akzeptiert

  • Submit #50338: Unauthenticated Stored XSS in apinto-dashboard <= v1.1.0-beta via callback, username (von Tomy)

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!