| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
SiteScape Forum ist eine kommerzielle Webapplikation, mit der Communities bereitgestellt werden können. Mitunter wird dabei ebenfalls ein Forum, in dem sich Diskussionen führen lassen, dargeboten. Marc Ruef der Firma scip AG entdeckte eine Cross Site Scripting-Schwachstelle in den Versionen vor 7.3. Verschiedene Formular-Felder sind gegen klassische Script-Injections verwundbar. Das Problem wurde am 27.06.07 dem Hersteller mitgeteilt. Noch am gleichen Tag wurde eine sehr freundliche Antwort durch Chris Pressley verfasst. So stellte sich heraus, dass der Fehler intern ab Version 7.3 gefixt wurde. Publik wurde das Problem jedoch nie gemacht. Aus eben diesem Grund wird empfohlen, auf die neueste Version upzugraden. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (35395) dokumentiert.
Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Man sollte sich des Risikos bewusst sein und falls möglich die im Text genannten Vorsichtsmassnahmen anwenden.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: sitescape.com
Timeline
29.06.2007 🔍13.07.2007 🔍
13.07.2007 🔍
13.07.2007 🔍
13.07.2007 🔍
13.07.2007 🔍
16.07.2007 🔍
16.07.2007 🔍
08.10.2018 🔍
Quellen
Advisory: vuldb.comPerson: Marc Ruef
Firma: scip AG
Status: Bestätigt
CVE: CVE-2007-3807 (🔍)
X-Force: 35395 - SiteScape Forum login cross-site scripting, Medium Risk
SecurityFocus: 24893 - SiteScape Forum Multiple Unspecified Cross-Site Scripting Vulnerabilities
Secunia: 26065 - SiteScape Forum Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 36844 - SiteScape Forum Login Procedure user name Multiple XSS
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 13.07.2007 10:59Aktualisierung: 08.10.2018 15:20
Anpassungen: 13.07.2007 10:59 (70), 08.10.2018 15:20 (7)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.