| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.04 |
PasswordManager Pro ist eine Software zur Verwaltung von Passwörtern innerhalb eines Unternehmens. Passwörter können zentral gespeichert und durch authentisierte Benutzer bei Bedarf abgerufen werden. Stefan Friedli der scip AG identfizierte eine Schwachstelle in aktuellen Versionen (bis Build 6104) der Applikation, bei der durch die fehlende Validierung des GET Parameters "searchtext" beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Angreifer können auf diesem Wege in den Besitz sensitiver Daten, inklusive Passwörter, gelangen.
Die vorliegende Lücke ist aufgrund der Kritikalität der zugrundeliegenden Daten als kritisch zu betrachten. Angreifer können durch eine erfolgreiche Attacke in den Besitz sensitiver Passwortdaten kommen. Ebenso lässt sich die Lücke problemlos auch für unauthentisierte Benutzer im Rahmen einer Phishing Attacke ausnutzen - der Schadcode wird in diesem Fall zwischengespeichert und nach dem erfolgreichen Login zur Ausführung gebracht. Betroffene Benutzer sollten zeitnah um das Einspielen eines entsprechenden Patches bemüht sein.
Produkt
Hersteller
Name
Lizenz
- commercial
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: manageengine.com
Timeline
15.12.2009 🔍15.12.2009 🔍
08.10.2018 🔍
Quellen
Hersteller: manageengine.comAdvisory: scip.ch
Person: Stefan Friedli
Firma: scip AG
Status: Nicht definiert
Eintrag
Erstellt: 15.12.2009 10:41Aktualisierung: 08.10.2018 14:55
Anpassungen: 15.12.2009 10:41 (47), 08.10.2018 14:55 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.