SiteScape Forum bis 7.3 Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.05

SiteScape Forum ist eine kommerzielle Webapplikation, mit der Communities bereitgestellt werden können. Mitunter wird dabei ebenfalls ein Forum, in dem sich Diskussionen führen lassen, dargeboten. Marc Ruef der Firma scip AG entdeckte eine Cross Site Scripting-Schwachstelle in den Versionen vor 7.3. Verschiedene Formular-Felder sind gegen klassische Script-Injections verwundbar. Das Problem wurde am 27.06.07 dem Hersteller mitgeteilt. Noch am gleichen Tag wurde eine sehr freundliche Antwort durch Chris Pressley verfasst. So stellte sich heraus, dass der Fehler intern ab Version 7.3 gefixt wurde. Publik wurde das Problem jedoch nie gemacht. Aus eben diesem Grund wird empfohlen, auf die neueste Version upzugraden. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (35395) dokumentiert.

Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Man sollte sich des Risikos bewusst sein und falls möglich die im Text genannten Vorsichtsmassnahmen anwenden.

Produktinfo

Typ

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Hoch funktional

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Patch: sitescape.com

Timelineinfo

29.06.2007 🔍
13.07.2007 +14 Tage 🔍
13.07.2007 +0 Tage 🔍
13.07.2007 +0 Tage 🔍
13.07.2007 +0 Tage 🔍
13.07.2007 +0 Tage 🔍
16.07.2007 +2 Tage 🔍
16.07.2007 +0 Tage 🔍
08.10.2018 +4102 Tage 🔍

Quelleninfo

Advisory: vuldb.com
Person: Marc Ruef
Firma: scip AG
Status: Bestätigt

CVE: CVE-2007-3807 (🔍)
X-Force: 35395 - SiteScape Forum login cross-site scripting, Medium Risk
SecurityFocus: 24893 - SiteScape Forum Multiple Unspecified Cross-Site Scripting Vulnerabilities
Secunia: 26065 - SiteScape Forum Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 36844 - SiteScape Forum Login Procedure user name Multiple XSS

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 13.07.2007 10:59
Aktualisierung: 08.10.2018 15:20
Anpassungen: (7) vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_secunia_date
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!