IBM Connections Portlets bis 4.4 IBM WebSphere Portal Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als problematisch klassifizierte Schwachstelle in IBM Connections Portlets bis 4.4 entdeckt. Davon betroffen ist unbekannter Code der Komponente IBM WebSphere Portal. Die Manipulation führt zu Cross Site Scripting. Die Verwundbarkeit wird als CVE-2014-0855 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In IBM Connections Portlets bis 4.4 (Groupware Software) wurde eine problematische Schwachstelle gefunden. Es geht um eine unbekannte Funktion der Komponente IBM WebSphere Portal. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
Multiple cross-site scripting (XSS) vulnerabilities in IBM Connections Portlets 4.x before 4.5.1 FP1 for IBM WebSphere Portal 7.0.0.2 and 8.0.0.1 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors.Die Schwachstelle wurde am 14.02.2014 (Website) an die Öffentlichkeit getragen. Auf xforce.iss.net kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 06.01.2014 mit CVE-2014-0855 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Für den Vulnerability Scanner Nessus wurde am 22.02.2014 ein Plugin mit der ID 72646 (IBM Connections Portlets for WebSphere Portal Reflected XSS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet.
Ein Upgrade auf die Version 4.5 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (90802), Tenable (72646), SecurityFocus (BID 65477†) und Vulnerability Center (SBV-43507†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.ibm.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 72646
Nessus Name: IBM Connections Portlets for WebSphere Portal Reflected XSS
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Connections Portlets 4.5
Timeline
06.01.2014 🔍07.02.2014 🔍
07.02.2014 🔍
14.02.2014 🔍
14.02.2014 🔍
22.02.2014 🔍
10.03.2014 🔍
24.03.2015 🔍
01.02.2022 🔍
Quellen
Hersteller: ibm.comAdvisory: xforce.iss.net
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2014-0855 (🔍)
GCVE (CVE): GCVE-0-2014-0855
GCVE (VulDB): GCVE-100-66370
X-Force: 90802
SecurityFocus: 65477 - IBM Connections Portlets for WebSphere Portal Multiple Cross Site Scripting Vulnerabilities
Vulnerability Center: 43507 - IBM Connections Portlets for WebSphere Remote XSS via Unspecified Vectors., Medium
Eintrag
Erstellt: 24.03.2015 15:54Aktualisierung: 01.02.2022 14:54
Anpassungen: 24.03.2015 15:54 (61), 22.05.2017 11:05 (5), 01.02.2022 14:54 (3)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.