VDB-51334 · CVE-2009-4450 · SA37990

LiveZilla 3.1.8.3 map.php Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.3$0-$5k0.00

In LiveZilla 3.1.8.3 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Hierbei betrifft es unbekannter Programmcode der Datei map.php. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Auswirkungen sind zu beobachten für die Integrität. CVE fasst zusammen:

Multiple cross-site scripting (XSS) vulnerabilities in map.php in LiveZilla 3.1.8.3 allow remote attackers to inject arbitrary web script or HTML via the (1) lat, (2) lng, and (3) zom parameters, which are not properly handled when processed with templates/map.tpl.

Am 27.12.2009 wurde das Problem entdeckt. Die Schwachstelle wurde am 27.12.2009 in Form eines nicht definierten Postings (Bugtraq) an die Öffentlichkeit getragen. Auf securityfocus.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 29.12.2009 mit CVE-2009-4450 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.

Potentiell verwundbare Systeme können mit dem Google Dork inurl:map.php gefunden werden.

Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Es wurde folglich unmittelbar reagiert.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.3

VulDB Base Score: 4.3
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

OpenVAS ID: 100930
OpenVAS Name: LiveZilla Multiple Cross-Site Scripting Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Timelineinfo

27.12.2009 🔍
27.12.2009 +0 Tage 🔍
27.12.2009 +0 Tage 🔍
28.12.2009 +1 Tage 🔍
28.12.2009 +0 Tage 🔍
29.12.2009 +0 Tage 🔍
29.12.2009 +0 Tage 🔍
18.03.2015 +1905 Tage 🔍
03.09.2017 +900 Tage 🔍

Quelleninfo

Advisory: securityfocus.com
Status: Nicht definiert

CVE: CVE-2009-4450 (🔍)
Secunia: 37990 - LiveZilla "map.php" Cross-Site Scripting Vulnerabilities, Less Critical
OSVDB: 61348 - LiveZilla map.php Multiple Parameter XSS

Eintraginfo

Erstellt: 18.03.2015 15:15
Aktualisierung: 03.09.2017 13:42
Anpassungen: 18.03.2015 15:15 (52), 03.09.2017 13:42 (7)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!