Business Objects Crystal Enterprise bis 10 report .RPT URLs Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.3$0-$5k0.00

Zusammenfassunginfo

In Business Objects Crystal Enterprise bis 10 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um eine nicht näher spezifizierte Funktion der Komponente Report .RPT URL Handler. Die Bearbeitung verursacht Cross Site Scripting. Die Verwundbarkeit wird als CVE-2004-2742 geführt. Der Angriff hat dabei lokal zu erfolgen. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.

Detailsinfo

Crystal Enterprise (CE) ist eine sehr populäre Reporting-Engine der Firma Business Objects. Wie nun in der Track ID ADAPT00307994 gemeldet wurde, existiert eine Cross Site Scripting-Schwachstelle in Business Objects Crystal Enterprise bis 10. Eingaben für URLs werden nicht richtig gefiltert, so dass entsprechende Angriffe umgesetzt werden können. Business Objects hat einen critical patch für das Problem herausgegeben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (18684), SecurityFocus (BID 12107†), OSVDB (12596†), Secunia (SA13644†) und SecurityTracker (ID 1012703†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Dieser spezifische Angriff hier ist auf einen Fehler in einer Software zurückzuführen; das ist bei einer Cross Site Scripting Verwundbarkeit eher selten gesehen.

Produktinfo

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.5
VulDB Meta Temp Score: 4.3

VulDB Base Score: 4.5
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Ja

Verfügbarkeit: 🔍
Status: Hoch funktional

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍

Patch: support.businessobjects.com

Timelineinfo

10.11.2004 🔍
27.12.2004 +47 Tage 🔍
27.12.2004 +0 Tage 🔍
27.12.2004 +0 Tage 🔍
27.12.2004 +0 Tage 🔍
27.12.2004 +0 Tage 🔍
31.12.2004 +3 Tage 🔍
10.01.2005 +10 Tage 🔍
08.10.2007 +1001 Tage 🔍
30.06.2019 +4283 Tage 🔍

Quelleninfo

Advisory: support.businessobjects.com
Person: http://www.businessobjects.com
Firma: Business Objects
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2004-2742 (🔍)
GCVE (CVE): GCVE-0-2004-2742
GCVE (VulDB): GCVE-100-1090
X-Force: 18684 - Crystal Enterprise report files cross-site scripting, Medium Risk
SecurityFocus: 12107 - Business Objects Crystal Enterprise Report File Cross-Site Scripting Vulnerability
Secunia: 13644 - Crystal Enterprise Report File Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 12596 - Crystal Enterprise Report File XSS
SecurityTracker: 1012703

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 10.01.2005 11:10
Aktualisierung: 30.06.2019 20:08
Anpassungen: 10.01.2005 11:10 (79), 30.06.2019 20:08 (1)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!