Vulnerability ID 2893

ePortfolio 1.0 Java Eingabeungültigkeit

CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
5.2$0-$1k

ePortfolio ist eine eBanking Applikation der TKS-Banking Solutions. Stefan Friedli fand diverse web-basierte Schwachstellen, die durch das komplette Fehlen einer serverseitigen Eingabevalidierung entstanden. Dies erlaubt es einem Angreifer durch den Einsatz eines lokalen Proxies wie WebScarab oder BurpProxy die implementierte JavaScript Validierung komplett zu umgehen und beliebige Daten zu übermitteln. In der Folge können diverse Angriffsfomen wie klassisches Phishing, Session Riding oder Cross-Site-Scripting umgesetzt werden. Entries connected to this vulnerability are available at 2962.

Das komplette Fehlen serverseitiger Validierung von Eingabedaten ist im Anbetracht der heutigen Situation im Bereich der Webapplikationssicherheit nicht mehr tragbar. Entsprechend hoch ist auch das Angriffspotential auf die betroffenene Applikation, die baldmöglichst, wenn nötig in direktem Kontakt mit dem Hersteller, dagegen immunisiert werden sollte.

CVSSv3

Base Score: 5.4 [?]
Temp Score: 5.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium

CVSSv2

Base Score: 4.9 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N) [?]
Temp Score: 4.3 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Eingabeungültigkeit
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $10k-$25k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Timeline

22.12.2006 VulDB Eintrag erstellt
05.03.2007 +73 Tage Advisory veröffentlicht
02.12.2015 +3194 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: scip.ch
Person: Stefan Friedli
Firma: scip AG
Siehe auch: 2962

Eintrag

Erstellt: 22.12.2006
Aktualisierung: 02.12.2015
Eintrag: 75.8% komplett