Icewarp Webclient 10.1.3/10.2.0 webmail/basic/ _dlg[captcha][uid] cross site scripting

CVSS Meta puntuación temporalExploit Precio Actual (≈)Puntaje de interés de CTI
4.7$0-$5k0.00

Una vulnerabilidad clasificada como problemática fue encontrada en Icewarp Webclient 10.1.3/10.2.0. Una función desconocida del archivo webmail/basic/ es afectada por esta vulnerabilidad. Mediante la manipulación del parámetro _dlg[captcha][uid] de un input desconocido se causa una vulnerabilidad de clase cross site scripting. Esto tiene repercusión sobre la la integridad.

La vulnerabilidad fue publicada el 2010-12-06 por Ron Ott, Michael Schneider y Thomas Wittmann con un blog post (Website) (confirmado). El advisory puede ser descargado de gosecurity.ch. La publicación ha sido realizada en coordinación y con la colaboración del fabricante. La vulnerabilidad es identificada como CVE-2010-5339. El ataque se puede hacer desde la red. La explotación no necesita ninguna autentificación específica. Los detalles técnicos asi como un exploit público son conocidos.

Un exploit ha sido desarrollado por Ron Ott/Michael Schneider/Thomas Wittmann y publicado inmediatamente después del anuncio. El exploit puede ser descargado de gosecurity.ch. Fue declarado como proof-of-concept.

Una actualización a la versión 10.2.1 elimina esta vulnerabilidad. Una solución posible ha sido publicada inmediatamente después de la publicación de la vulnerabilidad.

Productoinfo

Proveedor

Nombre

Versión

Licencia

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3info

VulDB Puntaje metabásico: 5.2
VulDB Meta puntuación temporal: 5.0

VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 3.9
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 6.1
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
desbloqueardesbloqueardesbloqueardesbloqueardesbloqueardesbloquear
desbloqueardesbloqueardesbloqueardesbloqueardesbloqueardesbloquear
desbloqueardesbloqueardesbloqueardesbloqueardesbloqueardesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 🔍

Explotacióninfo

Clase: Cross site scripting
CWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007

Local: No
Remoto: Sí

Disponibilidad: 🔍
Acceso: Público
Estado: Proof-of-Concept
Autor: Ron Ott/Michael Schneider/Thomas Wittmann
Descargar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-Daydesbloqueardesbloqueardesbloqueardesbloquear
Hoydesbloqueardesbloqueardesbloqueardesbloquear

Inteligencia de Amenazasinfo

Interesar: 🔍
Actores Activos: 🔍
Grupos APT activos: 🔍

Contramedidasinfo

Recomendación: Upgrade
Estado: 🔍

Tiempo de reacción: 🔍
Hora de 0 días: 🔍
Tiempo de exposición: 🔍
Aprovechar el tiempo de retraso: 🔍

Upgrade: Webclient 10.2.1

Línea de tiempoinfo

2010-12-06 🔍
2010-12-06 +0 días 🔍
2010-12-06 +0 días 🔍
2019-10-11 +3231 días 🔍
2019-10-11 +0 días 🔍
2020-10-01 +356 días 🔍

Fuentesinfo

Advisory: gosecurity.ch
Investigador: Ron Ott, Michael Schneider, Thomas Wittmann
Estado: Confirmado
Coordinar: 🔍

CVE: CVE-2010-5339 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
Véase también: 🔍

Artículoinfo

Fecha de creación: 2019-10-11 14:10
Actualizaciones: 2020-10-01 20:08
Cambios: 2019-10-11 14:10 (68), 2020-10-01 20:08 (1)
Completo: 🔍
Remitente: misc

Submitinfo

Aceptado

  • Submit #98: Icewarp Webclient 10.1.3/10.2.0 Https Post Request Cross Site Scripting (por misc)

Discusión

Sin comentarios aún. Idiomas: es + en.

Por favor inicie sesión para comentar.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!