Apple iOS/iPadOS bis 12.5.1/14.4.1 WebKit Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine als problematisch eingestufte Schwachstelle wurde in Apple iOS and iPadOS bis 12.5.1/14.4.1 festgestellt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente WebKit. Dank der Manipulation mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2021-1879 gehandelt. Ein Angriff ist aus der Distanz möglich. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine problematische Schwachstelle wurde in Apple iOS sowie iPadOS bis 12.5.1/14.4.1 (Smartphone Operating System) gefunden. Davon betroffen ist unbekannter Code der Komponente WebKit. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt.
Die Schwachstelle wurde am 26.03.2021 durch Clement Lecigne als HT212256/HT212257 in Form eines bestätigten Advisories (Website) herausgegeben. Bereitgestellt wird das Advisory unter support.apple.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2021-1879 gehandelt. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 29.07.2025). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus. Das Advisory weist darauf hin:
Processing maliciously crafted web content may lead to universal cross site scripting. Apple is aware of a report that this issue may have been actively exploited.Er wird als attackiert gehandelt.
Ein Aktualisieren auf die Version 12.5.2 oder 14.4.2 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat so unmittelbar gehandelt. Das Advisory stellt fest:
This issue was addressed by improved management of object lifetimes.Unter anderem wird der Fehler auch in den Datenbanken von Zero-Day.cz (616) und EUVD (EUVD-2021-7343) dokumentiert. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.4
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CNA Base Score: 6.1
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Attackiert
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Zero-Day.cz: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: iOS/iPadOS 12.5.2/14.4.2
Timeline
08.12.2020 🔍26.03.2021 🔍
26.03.2021 🔍
27.03.2021 🔍
29.07.2025 🔍
Quellen
Hersteller: apple.comAdvisory: HT212256/HT212257
Person: Clement Lecigne
Status: Bestätigt
CVE: CVE-2021-1879 (🔍)
GCVE (CVE): GCVE-0-2021-1879
GCVE (VulDB): GCVE-100-171905
EUVD: 🔍
scip Labs: https://www.scip.ch/?labs.20150917
Eintrag
Erstellt: 27.03.2021 17:59Aktualisierung: 29.07.2025 06:02
Anpassungen: 27.03.2021 17:59 (18), 27.03.2021 18:02 (29), 06.04.2021 11:30 (5), 20.04.2024 13:33 (26), 15.05.2024 17:15 (2), 29.06.2024 15:00 (2), 11.09.2024 23:15 (1), 30.01.2025 00:15 (28), 04.05.2025 03:00 (3), 29.07.2025 06:02 (1)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.