Ydalb mapicoin bis 1.9.0 webroot/stats.php link/search Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Ydalb mapicoin bis 1.9.0 ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist unbekannter Code der Datei webroot/stats.php. Mittels dem Manipulieren des Arguments link/search mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2016-15029 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
In Ydalb mapicoin bis 1.9.0 wurde eine problematische Schwachstelle gefunden. Betroffen ist ein unbekannter Teil der Datei webroot/stats.php. Durch die Manipulation des Arguments link/search mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt.
Die Schwachstelle wurde am 19.03.2023 als 67e87f0f0c1ac238fcd050f4c3db298229bc9679 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-15029 vorgenommen. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Potentiell verwundbare Systeme können mit dem Google Dork inurl:webroot/stats.php gefunden werden.
Ein Upgrade auf die Version 1.10.0 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 67e87f0f0c1ac238fcd050f4c3db298229bc9679 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Das Advisory stellt fest:
fix(stats.php): security issue (XSS)If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/Ydalb/mapicoin/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.4VulDB Meta Temp Score: 4.3
VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CNA Base Score: 3.5
CNA Vector (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: mapicoin 1.10.0
Patch: 67e87f0f0c1ac238fcd050f4c3db298229bc9679
Timeline
19.03.2023 🔍19.03.2023 🔍
19.03.2023 🔍
12.04.2023 🔍
Quellen
Produkt: github.comAdvisory: 67e87f0f0c1ac238fcd050f4c3db298229bc9679
Status: Bestätigt
CVE: CVE-2016-15029 (🔍)
GCVE (CVE): GCVE-0-2016-15029
GCVE (VulDB): GCVE-100-223402
Eintrag
Erstellt: 19.03.2023 21:07Aktualisierung: 12.04.2023 01:27
Anpassungen: 19.03.2023 21:07 (44), 12.04.2023 01:19 (2), 12.04.2023 01:27 (28)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.