Microsoft ASP.NET MVC 2/3/4/5/5.1 System.Web.Mvc.dll Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Microsoft ASP.NET MVC 2/3/4/5/5.1 gefunden. Davon betroffen ist unbekannter Code in der Bibliothek System.Web.Mvc.dll. Die Bearbeitung verursacht Cross Site Scripting. Diese Schwachstelle trägt die Bezeichnung CVE-2014-4075. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
In Microsoft ASP.NET MVC 2/3/4/5/5.1 wurde eine kritische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess der Bibliothek System.Web.Mvc.dll. Mit der Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-79. Mit Auswirkungen muss man rechnen für die Integrität. CVE fasst zusammen:
Cross-site scripting (XSS) vulnerability in System.Web.Mvc.dll in Microsoft ASP.NET Model View Controller (MVC) 2.0 through 5.1 allows remote attackers to inject arbitrary web script or HTML via a crafted web page, aka "MVC XSS Vulnerability."Die Schwachstelle wurde am 14.10.2014 von Microsoft als MS14-059 in Form eines bestätigten Bulletins (Technet) an die Öffentlichkeit getragen. Das Advisory kann von technet.microsoft.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 12.06.2014 mit CVE-2014-4075 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.
Für den Vulnerability Scanner Nessus wurde am 15.10.2014 ein Plugin mit der ID 78434 (MS14-059: Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (2990942)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90984 (Microsoft ASP.NET MVC Security Feature Bypass Vulnerability (MS14-059)) zur Prüfung der Schwachstelle an.
Die Schwachstelle lässt sich durch das Einspielen des Patches MS14-059 beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat offensichtlich sofort reagiert. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 17199 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (78434), SecurityFocus (BID 70352†), Secunia (SA60971†), SecurityTracker (ID 1031023†) und Vulnerability Center (SBV-46445†) dokumentiert. Zusätzliche Informationen finden sich unter krebsonsecurity.com. Die Schwachstellen VDB-67832, VDB-67831, VDB-67806 und VDB-67811 sind ähnlich. Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 78434
Nessus Name: MS14-059: Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (2990942)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: MS14-059
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
Fortigate IPS: 🔍
Timeline
12.06.2014 🔍14.10.2014 🔍
14.10.2014 🔍
14.10.2014 🔍
14.10.2014 🔍
14.10.2014 🔍
15.10.2014 🔍
15.10.2014 🔍
15.10.2014 🔍
22.02.2022 🔍
Quellen
Hersteller: microsoft.comAdvisory: MS14-059
Firma: Microsoft
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-4075 (🔍)
GCVE (CVE): GCVE-0-2014-4075
GCVE (VulDB): GCVE-100-67828
OVAL: 🔍
IAVM: 🔍
SecurityFocus: 70352 - Microsoft ASP.NET MVC CVE-2014-4075 Cross Site Scripting Vulnerability
Secunia: 60971
SecurityTracker: 1031023 - ASP.NET MVC Input Validation Flaw Permits Cross-Site Scripting Attacks
Vulnerability Center: 46445 - [MS14-059] Microsoft ASP.NET MVC XSS due to Improper Input Encoding - CVE-2014-4075, High
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 15.10.2014 11:46Aktualisierung: 22.02.2022 07:22
Anpassungen: 15.10.2014 11:46 (74), 05.04.2017 16:04 (13), 22.02.2022 07:22 (2)
Komplett: 🔍
Cache ID: 216:31B:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.