Old Street Solutions Live Input Macros bis 2.10 auf Confluence Macro Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine als problematisch eingestufte Schwachstelle wurde in Old Street Solutions Live Input Macros bis 2.10 auf Confluence festgestellt. Dies betrifft einen unbekannten Teil der Komponente Macro Handler. Durch Beeinflussen mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2019-15233 statt. Der Angriff kann über das Netzwerk erfolgen. Darüber hinaus steht ein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
In Old Street Solutions Live Input Macros bis 2.10 auf Confluence (Atlassian Confluence Plugin) wurde eine problematische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktionalität der Komponente Macro Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Dies hat Einfluss auf die Integrität. Die Zusammenfassung von CVE lautet:
The Live:Text Box macro in the Old Street Live Input Macros app before 2.11 for Confluence has XSS, leading to theft of the Administrator Session Cookie.Die Schwachstelle wurde am 20.08.2019 durch Francesco Emanuel Bennici (l0nax) von FABMation GmbH (GitHub Repository) öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 19.08.2019 als CVE-2019-15233 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.
Ein öffentlicher Exploit wurde durch Francesco Emanuel Bennici (l0nax) in HTML/Javascript geschrieben und direkt nach dem Advisory veröffentlicht. Der Exploit wird unter github.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 2.11 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Old Street Solutions hat demnach sofort gehandelt.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.8VulDB Meta Temp Score: 5.7
VulDB Base Score: 3.5
VulDB Temp Score: 3.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
Person Base Score: 7.9
Person Vector: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Francesco Emanuel Bennici (l0nax)
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Upgrade: Live Input Macros 2.11
Timeline
19.08.2019 🔍20.08.2019 🔍
20.08.2019 🔍
20.08.2019 🔍
21.08.2019 🔍
11.08.2020 🔍
Quellen
Advisory: github.comPerson: Francesco Emanuel Bennici (l0nax)
Firma: FABMation GmbH
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2019-15233 (🔍)
GCVE (CVE): GCVE-0-2019-15233
GCVE (VulDB): GCVE-100-140401
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 21.08.2019 07:16Aktualisierung: 11.08.2020 11:35
Anpassungen: 21.08.2019 07:16 (35), 27.08.2019 15:34 (2), 27.08.2019 15:36 (4), 27.08.2019 15:38 (3), 27.08.2019 15:39 (5), 02.09.2019 12:47 (2), 02.09.2019 12:48 (3), 02.09.2019 12:49 (4), 02.09.2019 12:50 (6), 11.08.2020 11:35 (17)
Komplett: 🔍
Editor: l0nax
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.