| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Microsoft Lync 2013 entdeckt. Es betrifft eine unbekannte Funktion der Komponente Script Handler. Durch Beeinflussen mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle (Reflected) ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2014-4070 gelistet. Der Angriff kann remote ausgeführt werden. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Eine Schwachstelle wurde in Microsoft Lync 2013 (Unified Communication Software) ausgemacht. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Verarbeitung der Komponente Script Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle (Reflected) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Auswirkungen hat dies auf Vertraulichkeit und Integrität. Die Zusammenfassung von CVE lautet:
Cross-site scripting (XSS) vulnerability in the Web Components Server in Microsoft Lync Server 2013 allows remote attackers to inject arbitrary web script or HTML via a crafted URL, aka "Lync XSS Information Disclosure Vulnerability."Die Schwachstelle wurde am 09.09.2014 durch Noam Rathaus (SecuriTeam) von Beyond Security's SecuriTeam Secure Disclosure als MS14-055 in Form eines bestätigten Bulletins (Technet) via Securiteam herausgegeben. Bereitgestellt wird das Advisory unter technet.microsoft.com. Die Verwundbarkeit wird seit dem 12.06.2014 mit der eindeutigen Identifikation CVE-2014-4070 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 77575 (MS14-055: Vulnerability in Microsoft Lync Server Could Allow Denial of Service (2990928)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90976 (Microsoft Lync Server Denial of Service Vulnerability (MS14-055)) zur Prüfung der Schwachstelle an.
Die Schwachstelle lässt sich durch das Einspielen des Patches MS14-055 lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat so sofort gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (95546), Tenable (77575), SecurityFocus (BID 69579†), SecurityTracker (ID 1030821†) und Vulnerability Center (SBV-46030†) dokumentiert. Die Einträge VDB-67516 und VDB-67518 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 4.7
VulDB Base Score: 5.4
VulDB Temp Score: 4.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: ReflectedKlasse: Cross Site Scripting / Reflected
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 77575
Nessus Name: MS14-055: Vulnerability in Microsoft Lync Server Could Allow Denial of Service (2990928)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 802074
OpenVAS Name: get_kb_item(MS/Lync/Server/Name
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: MS14-055
Timeline
12.06.2014 🔍09.09.2014 🔍
09.09.2014 🔍
09.09.2014 🔍
09.09.2014 🔍
09.09.2014 🔍
09.09.2014 🔍
10.09.2014 🔍
10.09.2014 🔍
15.02.2022 🔍
Quellen
Hersteller: microsoft.comAdvisory: MS14-055
Person: Noam Rathaus (SecuriTeam)
Firma: Beyond Security's SecuriTeam Secure Disclosure
Status: Bestätigt
CVE: CVE-2014-4070 (🔍)
GCVE (CVE): GCVE-0-2014-4070
GCVE (VulDB): GCVE-100-67517
OVAL: 🔍
IAVM: 🔍
X-Force: 95546 - Microsoft Lync Server reflected XSS information disclosure, Medium Risk
SecurityFocus: 69579 - Microsoft Lync Server CVE-2014-4070 Cross Site Scripting Vulnerability
SecurityTracker: 1030821 - Microsoft Lync Bugs Permit Cross-Site Scripting and Denial of Service Attacks
Vulnerability Center: 46030 - [MS14-055] Microsoft Lync Server 2010 and 2013 Remote Information Disclosure via a Crafted URL - CVE-2014-4070, High
Siehe auch: 🔍
Eintrag
Erstellt: 10.09.2014 11:36Aktualisierung: 15.02.2022 20:39
Anpassungen: 10.09.2014 11:36 (87), 06.06.2017 08:19 (6), 15.02.2022 20:39 (3)
Komplett: 🔍
Cache ID: 216:5E7:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.