CoreHR Core Portal bis 27.0.6 Gespeichert Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in CoreHR Core Portal bis 27.0.6 gefunden. Betroffen hiervon ist ein unbekannter Ablauf. Die Bearbeitung verursacht Cross Site Scripting (Gespeichert). Die Verwundbarkeit wird als CVE-2019-18221 geführt. Der Angriff kann remote ausgeführt werden. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine problematische Schwachstelle wurde in CoreHR Core Portal bis 27.0.6 ausgemacht. Davon betroffen ist eine unbekannte Funktion. Durch Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
CoreHR Core Portal before 27.0.7 allows stored XSS.Die Schwachstelle wurde am 24.10.2019 durch Alessandro Magnosi veröffentlicht. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet als CVE-2019-18221 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle. Das Advisory weist darauf hin:
The affected component is an unspecified item of the Core Portal component. Full details on the vulnerability won't be disclosed to the public.Ein privater Exploit wurde durch Alessandro Magnosi entwickelt. Er wird als proof-of-concept gehandelt.
Ein Upgrade auf die Version 27.0.7 vermag dieses Problem zu beheben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.2VulDB Meta Temp Score: 5.0
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: StoredKlasse: Cross Site Scripting / Stored
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: Privat
Status: Proof-of-Concept
Autor: Alessandro Magnosi
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Core Portal 27.0.7
Timeline
21.10.2019 🔍24.10.2019 🔍
25.10.2019 🔍
27.01.2024 🔍
Quellen
Advisory: vuldb.comPerson: Alessandro Magnosi
Status: Bestätigt
Koordiniert: 🔍
CVE: CVE-2019-18221 (🔍)
GCVE (CVE): GCVE-0-2019-18221
GCVE (VulDB): GCVE-100-144170
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 25.10.2019 09:42Aktualisierung: 27.01.2024 13:04
Anpassungen: 25.10.2019 09:42 (44), 26.10.2019 11:34 (17), 27.01.2024 13:04 (5)
Komplett: 🔍
Cache ID: 216::103
Submit
Akzeptiert
- Submit #109: CoreHR - Core Portal CoreHR v27 < v27.0.7 - Stored Cross Site Scripting (XSS)
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.