Serpico 1.3.0 admin/list_user Typ Gespeichert Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.5 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Serpico 1.3.0 ausgemacht. Es geht dabei um eine nicht klar definierte Funktion der Datei admin/list_user. Durch Manipulation des Arguments Typ durch Parameter kann eine Cross Site Scripting-Schwachstelle (Gespeichert) ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2019-19856 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es gibt keinen verfügbaren Exploit.
Details
Eine Schwachstelle wurde in Serpico 1.3.0 entdeckt. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Codeteil der Datei admin/list_user. Mittels dem Manipulieren des Arguments type durch Parameter kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Dies hat Einfluss auf die Integrität. Die Zusammenfassung von CVE lautet:
An issue was discovered in Serpico (aka SimplE RePort wrIting and CollaboratiOn tool) 1.3.0. The User Type on the admin/list_user page allows stored XSS via the type parameter.Die Schwachstelle wurde am 15.01.2020 durch Joel Aviad Ossi (websecnl) von OS.SI Consulting B.V. (Website) herausgegeben. Bereitgestellt wird das Advisory unter websec.nl. Die Verwundbarkeit wird seit dem 17.12.2019 mit der eindeutigen Identifikation CVE-2019-19856 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Die Schwachstellen VDB-149031 und VDB-149032 sind ähnlich. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.6VulDB Meta Temp Score: 3.5
VulDB Base Score: 2.4
VulDB Temp Score: 2.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 4.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: StoredKlasse: Cross Site Scripting / Stored
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Patch: github.com
Timeline
17.12.2019 🔍15.01.2020 🔍
16.01.2020 🔍
24.03.2024 🔍
Quellen
Advisory: 270f05ca6e51c87bb0867abb0511b61bf2aae182Person: Joel Aviad Ossi (websecnl)
Firma: OS.SI Consulting B.V.
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2019-19856 (🔍)
GCVE (CVE): GCVE-0-2019-19856
GCVE (VulDB): GCVE-100-149033
Siehe auch: 🔍
Eintrag
Erstellt: 16.01.2020 10:31Aktualisierung: 24.03.2024 10:03
Anpassungen: 16.01.2020 10:31 (35), 17.01.2020 07:04 (6), 17.01.2020 07:05 (17), 17.01.2020 07:06 (3), 24.03.2024 10:03 (22)
Komplett: 🔍
Editor: websecnl
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.