Vulnerability ID 4063

Zoho ManageEngine Password Manager Pro bis Build 6104 Cross Site Scripting

CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
5.3$0-$1k

PasswordManager Pro ist eine Software zur Verwaltung von Passwörtern innerhalb eines Unternehmens. Passwörter können zentral gespeichert und durch authentisierte Benutzer bei Bedarf abgerufen werden. Stefan Friedli der scip AG identfizierte eine Schwachstelle in aktuellen Versionen (bis Build 6104) der Applikation, bei der durch die fehlende Validierung des GET Parameters "searchtext" beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Angreifer können auf diesem Wege in den Besitz sensitiver Daten, inklusive Passwörter, gelangen.

Die vorliegende Lücke ist aufgrund der Kritikalität der zugrundeliegenden Daten als kritisch zu betrachten. Angreifer können durch eine erfolgreiche Attacke in den Besitz sensitiver Passwortdaten kommen. Ebenso lässt sich die Lücke problemlos auch für unauthentisierte Benutzer im Rahmen einer Phishing Attacke ausnutzen - der Schadcode wird in diesem Fall zwischengespeichert und nach dem erfolgreichen Login zur Ausführung gebracht. Betroffene Benutzer sollten zeitnah um das Einspielen eines entsprechenden Patches bemüht sein.

CVSSv3

Base Score: 5.5 [?]
Temp Score: 5.3 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium

CVSSv2

Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Cross Site Scripting
Auswirkungen: beliebiger Script-Code injizieren
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $10k-$25k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: manageengine.com

Timeline

15.12.2009 Advisory veröffentlicht
15.12.2009 +0 Tage VulDB Eintrag erstellt
02.06.2015 +1995 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: scip.ch
Person: Stefan Friedli
Firma: scip AG

Eintrag

Erstellt: 15.12.2009
Aktualisierung: 02.06.2015
Eintrag: 76.8% komplett