Netbox 4.0.3 /dcim/power-ports/add/ Name Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.2$0-$5k0.00

Zusammenfassunginfo

Eine als problematisch eingestufte Schwachstelle wurde in Netbox 4.0.3 festgestellt. Hierbei geht es um eine nicht exakt ausgemachte Funktion der Datei /dcim/power-ports/add/. Durch Manipulieren des Arguments Name mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2024-38972 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

In Netbox 4.0.3 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Hierbei betrifft es ein unbekannter Ablauf der Datei /dcim/power-ports/add/. Durch Manipulieren des Arguments Name mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Auswirkungen hat dies auf die Integrität. Die Zusammenfassung von CVE lautet:

A cross-site scripting (XSS) vulnerability in netbox v4.0.3 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Name parameter at /dcim/power-ports/add/.

Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 21.06.2024 als CVE-2024-38972 geführt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.

Mindestens 206 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Während dieser Zeit erzielte er wohl etwa auf dem Schwarzmarkt.

Ein Aktualisieren vermag dieses Problem zu lösen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.2
VulDB Meta Temp Score: 5.2

VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.1
NVD Vector: 🔍

CNA Base Score: 6.1
CNA Vector (MITRE): 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Timelineinfo

01.12.2023 🔍
21.06.2024 +202 Tage 🔍
24.06.2024 +3 Tage 🔍
09.07.2024 +15 Tage 🔍
09.07.2024 +0 Tage 🔍
19.03.2025 +253 Tage 🔍

Quelleninfo

Advisory: github.com
Status: Bestätigt

CVE: CVE-2024-38972 (🔍)
GCVE (CVE): GCVE-0-2024-38972
GCVE (VulDB): GCVE-100-270949

Eintraginfo

Erstellt: 09.07.2024 23:15
Aktualisierung: 19.03.2025 19:26
Anpassungen: 09.07.2024 23:15 (53), 10.07.2024 18:18 (3), 10.07.2024 18:22 (5), 11.07.2024 06:43 (12), 12.07.2024 15:02 (11), 19.03.2025 19:26 (4)
Komplett: 🔍
Editor: Anonymous User
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

 Anonymous User (+0)
vor 2 Jahren
Couple of things.

You opened up (spammed) VulDB for the same vulnerability (on a single page /cables/) the link between ports (power port, interfaces, front ports, rear ports, power outlets, console cables, console ports, power feeds, circuits, etc) is incorrectly sanitized. In the same vein, both /add and /edit are the same form, just with data pre-filled or missing. This is at best 1 vulnerability, not 17+ since the actual issue can only be presented in 1 area.

You did not follow the proper vulnerability disclosure process (opening a vulnerability report on github) and as such did not read our security.md file.
 VulDB Community Teamvor 2 Jahren
The vulnerabilities were disclosed by a 3rd party at https://github.com/minhquan202/Vuln-Netbox and we are not responsible for these CVEs as they were assigned by MITRE. Please contact them for disputes and merges. We will incorporate their actions.

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!