Csphere ClanSphere 2011.4 index.php where Cross Site Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.3$0-$5k0.00

Zusammenfassunginfo

Eine problematische Schwachstelle wurde in Csphere ClanSphere 2011.4 gefunden. Betroffen ist eine unbekannte Verarbeitung der Datei index.php. Durch die Manipulation des Arguments where mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2014-100010 vorgenommen. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es existiert kein Exploit.

Detailsinfo

Es wurde eine problematische Schwachstelle in Csphere ClanSphere 2011.4 ausgemacht. Es geht dabei um ein unbekannter Teil der Datei index.php. Durch Manipulation des Arguments where mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Mit Auswirkungen muss man rechnen für die Integrität. CVE fasst zusammen:

Cross-site scripting (XSS) vulnerability in ClanSphere 2011.4 allows remote attackers to inject arbitrary web script or HTML via the where parameter in a list action to index.php.

Die Schwachstelle wurde am 13.01.2015 (Website) publik gemacht. Das Advisory kann von httpcs.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 13.01.2015 unter CVE-2014-100010 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.

Mittels inurl:index.php können durch Google Hacking potentiell verwundbare Systeme gefunden werden.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (91276), SecurityFocus (BID 66058†) und Secunia (SA57306†) dokumentiert. Die Einträge VDB-73609, VDB-73608 und VDB-73602 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.

Produktinfo

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.3

VulDB Base Score: 4.3
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

OpenVAS ID: 800145
OpenVAS Name: ClanSphere where Parameter Cross-Site Scripting Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfo

07.03.2014 🔍
10.03.2014 +3 Tage 🔍
13.01.2015 +309 Tage 🔍
13.01.2015 +0 Tage 🔍
13.01.2015 +0 Tage 🔍
27.03.2015 +73 Tage 🔍
07.04.2018 +1107 Tage 🔍

Quelleninfo

Advisory: httpcs.com
Status: Nicht definiert

CVE: CVE-2014-100010 (🔍)
GCVE (CVE): GCVE-0-2014-100010
GCVE (VulDB): GCVE-100-73572
X-Force: 91276
SecurityFocus: 66058 - ClanSphere 'Where' Parameter Cross Site Scripting Vulnerability
Secunia: 57306 - ClanSphere "where" Cross-Site Scripting Vulnerability, Less Critical

Siehe auch: 🔍

Eintraginfo

Erstellt: 27.03.2015 14:56
Aktualisierung: 07.04.2018 10:16
Anpassungen: 27.03.2015 14:56 (51), 07.04.2018 10:16 (10)
Komplett: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!