| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine als problematisch eingestufte Schwachstelle wurde in OpenStack Horizon bis Juno-1 festgestellt. Es betrifft eine unbekannte Funktion. Mit der Manipulation mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2014-3474 vorgenommen. Der Angriff kann remote ausgeführt werden. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine Schwachstelle wurde in OpenStack Horizon bis Juno-1 (Cloud Software) ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Codeteil. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Auswirkungen hat dies auf die Integrität. Die Zusammenfassung von CVE lautet:
Cross-site scripting (XSS) vulnerability in horizon/static/horizon/js/horizon.instances.js in the Launch Instance menu in OpenStack Dashboard (Horizon) before 2013.2.4, 2014.1 before 2014.1.2, and Juno before Juno-2 allows remote authenticated users to inject arbitrary web script or HTML via a network name.Die Schwachstelle wurde am 31.10.2014 von Cisco (Website) herausgegeben. Bereitgestellt wird das Advisory unter review.openstack.org. Die Verwundbarkeit wird seit dem 14.05.2014 mit der eindeutigen Identifikation CVE-2014-3474 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059.007 aus.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 80842 (openSUSE Security Update : openstack-dashboard (openSUSE-SU-2015:0078-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 167495 (OpenSuSE Security Update for openstack-dashboard (openSUSE-SU-2015:0078-1)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 2012.1 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (94326), Tenable (80842), SecurityFocus (BID 68460†) und Vulnerability Center (SBV-48449†) dokumentiert. Die Schwachstellen VDB-65553, VDB-69334, VDB-70702 und VDB-72774 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.openstack.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.5VulDB Meta Temp Score: 3.4
VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 80842
Nessus Name: openSUSE Security Update : openstack-dashboard (openSUSE-SU-2015:0078-1)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 867773
OpenVAS Name: Fedora Update for python-django FEDORA-2014-9791
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Horizon 2012.1
Timeline
16.04.2014 🔍14.05.2014 🔍
08.07.2014 🔍
31.10.2014 🔍
31.10.2014 🔍
04.02.2015 🔍
27.03.2015 🔍
03.04.2022 🔍
Quellen
Hersteller: openstack.orgAdvisory: review.openstack.org
Firma: Cisco
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2014-3474 (🔍)
GCVE (CVE): GCVE-0-2014-3474
GCVE (VulDB): GCVE-100-72773
OVAL: 🔍
X-Force: 94326
SecurityFocus: 68460 - OpenStack Horizon Network Name CVE-2014-3474 HTML Injection Vulnerability
Vulnerability Center: 48449 - OpenStack Dashboard before 2013.2.4 and 2014.1 before 2014.1.2 XSS via a Network Name, Low
Siehe auch: 🔍
Eintrag
Erstellt: 27.03.2015 12:07Aktualisierung: 03.04.2022 11:00
Anpassungen: 27.03.2015 12:07 (64), 19.06.2017 08:24 (9), 03.04.2022 11:00 (3)
Komplett: 🔍
Cache ID: 216:470:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.