Business Objects Crystal Enterprise bis 10 report .RPT URLs Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Zusammenfassung
In Business Objects Crystal Enterprise bis 10 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um eine nicht näher spezifizierte Funktion der Komponente Report .RPT URL Handler. Die Bearbeitung verursacht Cross Site Scripting. Die Verwundbarkeit wird als CVE-2004-2742 geführt. Der Angriff hat dabei lokal zu erfolgen. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Crystal Enterprise (CE) ist eine sehr populäre Reporting-Engine der Firma Business Objects. Wie nun in der Track ID ADAPT00307994 gemeldet wurde, existiert eine Cross Site Scripting-Schwachstelle in Business Objects Crystal Enterprise bis 10. Eingaben für URLs werden nicht richtig gefiltert, so dass entsprechende Angriffe umgesetzt werden können. Business Objects hat einen critical patch für das Problem herausgegeben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (18684), SecurityFocus (BID 12107†), OSVDB (12596†), Secunia (SA13644†) und SecurityTracker (ID 1012703†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Dieser spezifische Angriff hier ist auf einen Fehler in einer Software zurückzuführen; das ist bei einer Cross Site Scripting Verwundbarkeit eher selten gesehen.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.5VulDB Meta Temp Score: 4.3
VulDB Base Score: 4.5
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: support.businessobjects.com
Timeline
10.11.2004 🔍27.12.2004 🔍
27.12.2004 🔍
27.12.2004 🔍
27.12.2004 🔍
27.12.2004 🔍
31.12.2004 🔍
10.01.2005 🔍
08.10.2007 🔍
30.06.2019 🔍
Quellen
Advisory: support.businessobjects.comPerson: http://www.businessobjects.com
Firma: Business Objects
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2004-2742 (🔍)
GCVE (CVE): GCVE-0-2004-2742
GCVE (VulDB): GCVE-100-1090
X-Force: 18684 - Crystal Enterprise report files cross-site scripting, Medium Risk
SecurityFocus: 12107 - Business Objects Crystal Enterprise Report File Cross-Site Scripting Vulnerability
Secunia: 13644 - Crystal Enterprise Report File Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 12596 - Crystal Enterprise Report File XSS
SecurityTracker: 1012703
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 10.01.2005 11:10Aktualisierung: 30.06.2019 20:08
Anpassungen: 10.01.2005 11:10 (79), 30.06.2019 20:08 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.