Symantec Web Security bis 3.0.1.85 unbekannte Parameter Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als kritisch eingestuft wurde, wurde in Symantec Web Security bis 3.0.1.85 gefunden. Es ist betroffen eine unbekannte Funktion der Komponente Error Message Handler. Durch Manipulieren mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2007-0563 gelistet. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Symantec ist ein populärer Hersteller von Sicherheitslösungen, der sich vor allem durch seine Antiviren-Produkte einen guten Namen gemacht hat. Wie im Advisory SYM07-001 gemeldet wird, existiert eine Cross Site Scripting-Schwachstelle in Symantec Web Security bis 3.0.1.85. Durch diese kann beliebiger HTML- und Script-Code im Webbrowser ausgeführt werden. Technische Details oder ein Exploit sind nicht bekannt. Symantec hat das Problem mit einer aktualisierten Version behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (31750), Tenable (25446), SecurityFocus (BID 22184†), OSVDB (32959†) und Secunia (SA23896†) dokumentiert. Die Einträge VDB-2876, VDB-34691 und VDB-85132 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Für den Vulnerability Scanner Nessus wurde am 07.06.2007 ein Plugin mit der ID 25446 (Symantec Web Security (SWS) Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt.
Obschon bisher noch keine technischen Informationen zur besagten Verwundbarkeit bekannt sind, sollte man ein Update auf die neueste Version nicht hinausschieben. Es ist durchaus möglich, dass die ersten handlichen Exploits zur automatisierten Ausnutzung der Schwachstelle irgendwann die Runde machen.
Produkt
Typ
Hersteller
Name
Version
- 3.0.1.0
- 3.0.1.1
- 3.0.1.2
- 3.0.1.3
- 3.0.1.4
- 3.0.1.5
- 3.0.1.6
- 3.0.1.7
- 3.0.1.8
- 3.0.1.9
- 3.0.1.10
- 3.0.1.11
- 3.0.1.12
- 3.0.1.13
- 3.0.1.14
- 3.0.1.15
- 3.0.1.16
- 3.0.1.17
- 3.0.1.18
- 3.0.1.19
- 3.0.1.20
- 3.0.1.21
- 3.0.1.22
- 3.0.1.23
- 3.0.1.24
- 3.0.1.25
- 3.0.1.26
- 3.0.1.27
- 3.0.1.28
- 3.0.1.29
- 3.0.1.30
- 3.0.1.31
- 3.0.1.32
- 3.0.1.33
- 3.0.1.34
- 3.0.1.35
- 3.0.1.36
- 3.0.1.37
- 3.0.1.38
- 3.0.1.39
- 3.0.1.40
- 3.0.1.41
- 3.0.1.42
- 3.0.1.43
- 3.0.1.44
- 3.0.1.45
- 3.0.1.46
- 3.0.1.47
- 3.0.1.48
- 3.0.1.49
- 3.0.1.50
- 3.0.1.51
- 3.0.1.52
- 3.0.1.53
- 3.0.1.54
- 3.0.1.55
- 3.0.1.56
- 3.0.1.57
- 3.0.1.58
- 3.0.1.59
- 3.0.1.60
- 3.0.1.61
- 3.0.1.62
- 3.0.1.63
- 3.0.1.64
- 3.0.1.65
- 3.0.1.66
- 3.0.1.67
- 3.0.1.68
- 3.0.1.69
- 3.0.1.70
- 3.0.1.71
- 3.0.1.72
- 3.0.1.73
- 3.0.1.74
- 3.0.1.75
- 3.0.1.76
- 3.0.1.77
- 3.0.1.78
- 3.0.1.79
- 3.0.1.80
- 3.0.1.81
- 3.0.1.82
- 3.0.1.83
- 3.0.1.84
- 3.0.1.85
Lizenz
Webseite
- Hersteller: https://www.symantec.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.7
VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 25446
Nessus Name: Symantec Web Security (SWS) Multiple Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 80020
OpenVAS Name: Symantec Web Security flaws
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: symantec.com
Timeline
24.01.2007 🔍24.01.2007 🔍
24.01.2007 🔍
25.01.2007 🔍
25.01.2007 🔍
25.01.2007 🔍
25.01.2007 🔍
26.01.2007 🔍
30.01.2007 🔍
30.01.2007 🔍
07.06.2007 🔍
11.06.2007 🔍
20.07.2019 🔍
Quellen
Hersteller: symantec.comAdvisory: securityresponse.symantec.com
Person: Mikko Korppi
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-0563 (🔍)
GCVE (CVE): GCVE-0-2007-0563
GCVE (VulDB): GCVE-100-2877
X-Force: 31750
SecurityFocus: 22184 - Symantec Web Security Multiple Denial of Service And Cross-Site Scripting Vulnerabilities
Secunia: 23896
OSVDB: 32959 - Symantec Web Security (SWS) License Registering Interface Large File DoS
SecurityTracker: 1017558
Vulnerability Center: 15329 - Symantec Web Security Multiple XSS Vulnerabilities, Medium
Vupen: ADV-2007-0330
Siehe auch: 🔍
Eintrag
Erstellt: 26.01.2007 13:18Aktualisierung: 20.07.2019 15:01
Anpassungen: 26.01.2007 13:18 (90), 20.07.2019 15:01 (1)
Komplett: 🔍
Cache ID: 216:A14:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.