ManageEngine Password Manager Pro searchtext Script Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.06

PasswordManager Pro ist eine Software zur Verwaltung von Passwörtern innerhalb eines Unternehmens. Passwörter können zentral gespeichert und durch authentisierte Benutzer bei Bedarf abgerufen werden. Stefan Friedli der scip AG identfizierte eine Schwachstelle in aktuellen Versionen (bis Build 6104) der Applikation, bei der durch die fehlende Validierung des GET Parameters "searchtext" beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Angreifer können auf diesem Wege in den Besitz sensitiver Daten, inklusive Passwörter, gelangen.

Die vorliegende Lücke ist aufgrund der Kritikalität der zugrundeliegenden Daten als kritisch zu betrachten. Angreifer können durch eine erfolgreiche Attacke in den Besitz sensitiver Passwortdaten kommen. Ebenso lässt sich die Lücke problemlos auch für unauthentisierte Benutzer im Rahmen einer Phishing Attacke ausnutzen - der Schadcode wird in diesem Fall zwischengespeichert und nach dem erfolgreichen Login zur Ausführung gebracht. Betroffene Benutzer sollten zeitnah um das Einspielen eines entsprechenden Patches bemüht sein.

Produktinfo

Hersteller

Name

Lizenz

  • commercial

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Patch: manageengine.com

Timelineinfo

15.12.2009 🔍
15.12.2009 +0 Tage 🔍
08.10.2018 +3219 Tage 🔍

Quelleninfo

Hersteller: manageengine.com

Advisory: scip.ch
Person: Stefan Friedli
Firma: scip AG
Status: Nicht definiert

Eintraginfo

Erstellt: 15.12.2009 10:41
Aktualisierung: 08.10.2018 14:55
Anpassungen: 15.12.2009 10:41 (47), 08.10.2018 14:55 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!