Jetbox CMS 2.1 title Cross Site Scripting

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
6.0$0-$5k0.00

Es wurde eine Schwachstelle in Jetbox CMS 2.1 (Content Management System) gefunden. Sie wurde als kritisch eingestuft. Dabei betrifft es ein unbekannter Prozess. Durch Manipulieren des Arguments title mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-80 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Multiple cross-site scripting (XSS) vulnerabilities in Jetbox CMS allow remote attackers to inject arbitrary web script or HTML via the (1) path parameter to view/search/; or the (2) companyname, (3) country, (4) email, (5) firstname, (6) middlename, (7) required, (8) surname, or (9) title parameter to view/supplynews/.

Die Schwachstelle wurde am 15.05.2007 durch Michael Jordon von Mikhail Markin (Website) publik gemacht. Auf vupen.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 16.05.2007 unter CVE-2007-2732 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.

Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von securityfocus.com geschehen.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 23999) dokumentiert. Die Schwachstellen 85859 sind ähnlich.

Produktinfoedit

Typ

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Klasse: Cross Site Scripting
CWE: CWE-80
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfoedit

15.05.2007 🔍
15.05.2007 +0 Tage 🔍
16.05.2007 +0 Tage 🔍
16.05.2007 +0 Tage 🔍
18.06.2007 +33 Tage 🔍
13.03.2015 +2824 Tage 🔍
17.10.2017 +949 Tage 🔍

Quelleninfoedit

Advisory: vupen.com
Person: Michael Jordon
Firma: Mikhail Markin
Status: Nicht definiert

CVE: CVE-2007-2732 (🔍)
SecurityFocus: 23999 - Jetbox CMS Multiple Cross Site Scripting Vulnerabilities
OSVDB: 37451 - Jetbox CMS view/search/ path Parameter XSS
Vupen: ADV-2007-1831

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfoedit

Erstellt: 13.03.2015 14:56
Aktualisierung: 17.10.2017 11:59
Anpassungen: (1) exploit_url
Komplett: 🔍

Kommentare

Do you know our Splunk app?

Download it now for free!