Vulnerability ID 5569

Opera bis 12.00.1467 Symlink Cross Site Scripting

CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
8.8$0-$1k

In Opera bis 12.00.1467, ein Webbrowser, wurde eine kritische Schwachstelle ausgemacht. Hierbei betrifft es eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle (Symlink) ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 15.06.2012 durch Sean Amoss als GLSA 201206-03 in Form eines Mailinglist Posts (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter article.gmane.org. Die Verwundbarkeit wird seit dem 15.10.2011 als CVE-2011-4065 geführt. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$1k kosten.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 59631 (GLSA-201206-03 : Opera: Multiple vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von Secunia (SA49634) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 48607, 48611, 48614 und 4967.

CVSSv3

Base Score: 8.8 [?]
Temp Score: 8.8 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C) [?]
Temp Score: 10.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 59631
Nessus Name: GLSA-201206-03 : Opera: Multiple vulnerabilities
Nessus File: gentoo_GLSA-201206-03.nasl
Nessus Family: Gentoo Local Security Checks
OpenVAS ID: 71547
OpenVAS Name: Gentoo Security Advisory GLSA 201206-03 (Opera)
OpenVAS File: glsa_201206_03.nasl
OpenVAS Family: Gentoo Local Security Checks

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

15.10.2011 CVE zugewiesen
15.06.2012 +244 Tage Advisory veröffentlicht
18.06.2012 +3 Tage OSVDB Eintrag erstellt
18.06.2012 +0 Tage Secunia Eintrag erstellt
22.06.2012 +4 Tage VulDB Eintrag erstellt
23.08.2016 +1523 Tage VulDB letzte Aktualisierung

Quellen

Advisory: GLSA 201206-03
Person: Sean Amoss

CVE: CVE-2011-4065 (mitre.org) (nvd.nist.org) (cvedetails.com)

Secunia: 49634 - Gentoo update for opera, Highly Critical
OSVDB: 83044

Siehe auch: 48607, 48611, 48614, 4967, 4968, 4969, 4970, 4997, 4998, 5558, 5559, 5560, 5561, 5562

Eintrag

Erstellt: 22.06.2012
Aktualisierung: 23.08.2016
Eintrag: 79.8% komplett