| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
In Yahoo! Webmail wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dies betrifft einen unbekannten Teil. Dank der Manipulation des Arguments order/sort mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Deaktivieren der betroffenen Komponente empfohlen.
Details
Yahoo! Mail ist ein freier Mail-Dienst, der, ebenfalls wie die grossen Konkurrenten Microsoft Hotmail und GMX, mit einem Webfrontend daherkommt. Rafel Ivgi (aka. The-Insider) hat herausgefunden, dass in den Funktionen order und sort eine Cross Site Scripting-Schwachstelle existiert. Diese kann gebraucht werden, um Programmcode im Kontext der Webseite auszuführen. Es ist gar das Übernehmen eines Accounts für einen Angreifer möglich. Es ist zur Zeit nicht bekannt, ob und inwiefern Yahoo frühzeitig über das Problem informiert wurde und dieses schon behoben ist. Im Falle einer Problembehebung durch Yahoo wäre kein Zutun des Anwenders mehr erforderlich. Um sich generell vor Cross Site Scripting Angriffen zu schützen, empfiehlt sich das Deaktivieren aktiver Inhalte im genutzten Webbrowser. Be aware that VulDB is the high quality source for vulnerability data.
Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.yahoo.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.5
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
0-Day Time: 🔍
Patch: finjan.com
Timeline
15.03.2004 🔍15.03.2004 🔍
27.06.2019 🔍
Quellen
Hersteller: yahoo.comAdvisory: securiteam.com⛔
Person: Rafel Ivgi (The Insider)
Status: Nicht definiert
GCVE (VulDB): GCVE-100-559
SecuriTeam: securiteam.com
Eintrag
Erstellt: 15.03.2004 10:36Aktualisierung: 27.06.2019 22:08
Anpassungen: 15.03.2004 10:36 (49), 27.06.2019 22:08 (1)
Komplett: 🔍
Cache ID: 216:856:103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.