Adobe ColdFusion MX bis 7.x Cross Site Scripting Protection umgehen
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Adobe ColdFusion MX bis 7.x gefunden. Betroffen ist eine unbekannte Funktion der Datei Cross Site Scripting Protection der Komponente Error Message Handler. Durch die Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2006-6482 vorgenommen. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
ColdFusion MX ist ein kommerzieller, von der Firma Macromedia entwickelter Applikations-Server für Unix, Linux und Windows. Brett Moore hat herausgefunden, dass die Cross Site Scripting Protection nicht umfassend funktioniert. Unter gewissen Umständen ist es deshalb möglich, dass dennoch ein solcher Angriff ausgeführt werden kann. Technische Details oder ein Exploit sind nicht bekannt. Ebenso ist noch kein Patch verfügbar. Als Workaround wird empfohlen, dass die Eingaben entweder manuell oder durch einen dedizierten Proxy gefiltert werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30840), SecurityFocus (BID 21532†), OSVDB (31052†), Secunia (SA23281†) und SecurityTracker (ID 1017361†) dokumentiert. Die Einträge VDB-33792 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.
Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: ColdFusion MX 7.0.2
Patch: macromedia.com
Timeline
11.12.2006 🔍11.12.2006 🔍
12.12.2006 🔍
12.12.2006 🔍
12.12.2006 🔍
12.12.2006 🔍
14.12.2006 🔍
13.03.2021 🔍
Quellen
Hersteller: adobe.comAdvisory: securityfocus.com⛔
Person: Brett Moore
Firma: Security-Assessment.com
Status: Nicht definiert
CVE: CVE-2006-6482 (🔍)
GCVE (CVE): GCVE-0-2006-6482
GCVE (VulDB): GCVE-100-2732
X-Force: 30840 - Adobe Macromedia ColdFusion login.cfm information disclosure, Low Risk
SecurityFocus: 21532 - Adobe ColdFusion Multiple Input Validation Vulnerabilities
Secunia: 23281 - Adobe ColdFusion MX Cross-Site Scripting Protection Bypass, Less Critical
OSVDB: 31052 - ColdFusion MX Nonexistent File Request Path Disclosure
SecurityTracker: 1017361 - Adobe ColdFusion Bugs Enable Cross-Site Scripting Evasion, Path Disclosure, and Internal Address Disclosure
Vupen: ADV-2006-4949
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 14.12.2006 14:08Aktualisierung: 13.03.2021 16:33
Anpassungen: 14.12.2006 14:08 (72), 02.12.2015 11:08 (4), 13.03.2021 16:33 (8)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.