social-warfare Plugin bis 3.5.2 auf WordPress admin-post.php?swp_debug=load_options swp_url Gespeichert Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in social-warfare Plugin bis 3.5.2 für WordPress entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Datei wp-admin/admin-post.php?swp_debug=load_options. Durch die Manipulation des Arguments swp_url durch Parameter kann eine Cross Site Scripting-Schwachstelle (Gespeichert) ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2019-9978 vorgenommen. Es ist möglich, den Angriff aus der Ferne durchzuführen. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine problematische Schwachstelle in social-warfare Plugin bis 3.5.2 auf WordPress (WordPress Plugin) ausgemacht. Es geht dabei um ein unbekannter Teil der Datei wp-admin/admin-post.php?swp_debug=load_options. Durch Manipulieren des Arguments swp_url durch Parameter kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
The social-warfare plugin before 3.5.3 for WordPress has stored XSS via the wp-admin/admin-post.php?swp_debug=load_options swp_url parameter, as exploited in the wild in March 2019. This affects Social Warfare and Social Warfare Pro.Am 21.03.2019 wurde das Problem entdeckt. Die Schwachstelle wurde am 24.03.2019 (Website) publik gemacht. Auf exploit-db.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 24.03.2019 unter CVE-2019-9978 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Der Exploit wird unter packetstormsecurity.com zur Verfügung gestellt. Er wird als attackiert gehandelt. Insgesamt wurde die Schwachstelle mindestens 3 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 13469 (WordPress Social-Warfare Plugin Stored Cross-Site Scripting Vulnerability) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 3.5.3 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Zero-Day.cz (535) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.2VulDB Meta Temp Score: 5.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: StoredKlasse: Cross Site Scripting / Stored
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: social-warfare Plugin 3.5.3
Timeline
21.03.2019 🔍24.03.2019 🔍
24.03.2019 🔍
25.03.2019 🔍
09.09.2024 🔍
Quellen
Advisory: 152722Status: Nicht definiert
CVE: CVE-2019-9978 (🔍)
GCVE (CVE): GCVE-0-2019-9978
GCVE (VulDB): GCVE-100-132162
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 25.03.2019 07:08Aktualisierung: 09.09.2024 22:29
Anpassungen: 25.03.2019 07:08 (64), 19.05.2020 16:13 (2), 04.08.2023 19:57 (5), 19.04.2024 17:04 (27), 26.06.2024 04:34 (2), 04.07.2024 04:01 (2), 25.07.2024 18:11 (1), 09.09.2024 22:29 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.