| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine als kritisch eingestufte Schwachstelle wurde in xmldom festgestellt. Es ist betroffen eine unbekannte Funktion. Mittels Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2022-39353 gelistet. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in xmldom ausgemacht. Sie wurde als kritisch eingestuft. Im Rahmen von CWE wurde eine Klassifizierung als CWE-1288 vorgenommen. Wie sich ein erfolgreicher Angriff genau auswirkt, ist nicht bekannt. Die Zusammenfassung von CVE lautet:
xmldom is a pure JavaScript W3C standard-based (XML DOM Level 2 Core) `DOMParser` and `XMLSerializer` module. xmldom parses XML that is not well-formed because it contains multiple top level elements, and adds all root nodes to the `childNodes` collection of the `Document`, without reporting any error or throwing. This breaks the assumption that there is only a single root node in the tree, which led to issuance of CVE-2022-39299 as it is a potential issue for dependents. Update to @xmldom/xmldom@~0.7.7, @xmldom/xmldom@~0.8.4 (dist-tag latest) or @xmldom/xmldom@>=0.9.0-beta.4 (dist-tag next). As a workaround, please one of the following approaches depending on your use case: instead of searching for elements in the whole DOM, only search in the `documentElement`or reject a document with a document that has more then 1 `childNode`.Die Schwachstelle wurde am 02.11.2022 als 150 publiziert. Das Advisory findet sich auf github.com. Die Identifikation der Schwachstelle wird seit dem 02.09.2022 mit CVE-2022-39353 vorgenommen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 0.7.7, 0.8.4 oder 0.9.0-beta.4 vermag dieses Problem zu lösen.
Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Name
Webseite
- Produkt: https://github.com/xmldom/xmldom/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.8VulDB Meta Temp Score: 8.7
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CNA Base Score: 9.4
CNA Vector (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-1288 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: xmldom 0.7.7/0.8.4/0.9.0-beta.4
Timeline
02.09.2022 🔍02.11.2022 🔍
02.11.2022 🔍
04.12.2022 🔍
Quellen
Produkt: github.comAdvisory: 150
Status: Bestätigt
CVE: CVE-2022-39353 (🔍)
GCVE (CVE): GCVE-0-2022-39353
GCVE (VulDB): GCVE-100-212847
Eintrag
Erstellt: 02.11.2022 20:42Aktualisierung: 04.12.2022 08:43
Anpassungen: 02.11.2022 20:42 (48), 04.12.2022 08:43 (11)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.