S9y Serendipity hasta 0.7 Rc1 compat.php searchTerm cross site scripting
CVSS Meta puntuación temporal | Exploit Precio Actual (≈) | Puntaje de interés de CTI |
---|---|---|
4.1 | $0-$5k | 0.00 |
Una vulnerabilidad clasificada como problemática ha sido encontrada en S9y Serendipity (Content Management System). Una función desconocida del archivo compat.php es afectada por esta vulnerabilidad. Por la manipulación del parámetro searchTerm
de un input desconocido se causa una vulnerabilidad de clase cross site scripting. Esto tiene repercusión sobre la la integridad.
El error fue descubierto el 2004-12-02. La vulnerabilidad fue publicada el 2004-12-02 por Stefan Esser (Website) (confirmado). El advisory puede ser descargado de s9y.org. La vulnerabilidad es identificada como CVE-2004-2525. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Buscando inurl:compat.php es posible encontrar objetos vulnerables. Para el scanner Nessus se dispone de un plugin ID 15914 (Serendipity compat.php searchTerm Parameter XSS), que puede ayudar a determinar la existencia del riesgo analizado.
Una actualización a la versión 0.7.1 elimina esta vulnerabilidad.
La vulnerabilidad también está documentado en las bases de datos X-Force (18322) y Tenable (15914).
Producto
Escribe
Proveedor
Nombre
Versión
- 0.3
- 0.4
- 0.5
- 0.5 Pl1
- 0.6
- 0.6 Pl1
- 0.6 Pl2
- 0.6 Pl3
- 0.6 Rc1
- 0.6 Rc2
- 0.7
- 0.7 Beta1
- 0.7 Beta2
- 0.7 Beta3
- 0.7 Beta4
- 0.7 Rc1
Licencia
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntaje metabásico: 4.3VulDB Meta puntuación temporal: 4.1
VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
---|---|---|---|---|---|
desbloquear | desbloquear | desbloquear | desbloquear | desbloquear | desbloquear |
desbloquear | desbloquear | desbloquear | desbloquear | desbloquear | desbloquear |
desbloquear | desbloquear | desbloquear | desbloquear | desbloquear | desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 🔍
Explotación
Clase: Cross site scriptingCWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
0-Day | desbloquear | desbloquear | desbloquear | desbloquear |
---|---|---|---|---|
Hoy | desbloquear | desbloquear | desbloquear | desbloquear |
Nessus ID: 15914
Nessus Nombre: Serendipity compat.php searchTerm Parameter XSS
Nessus File: 🔍
Nessus Riesgo: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 15914
OpenVAS Nombre: Serendipity XSS Flaw
OpenVAS File: 🔍
OpenVAS Family: 🔍
Inteligencia de Amenazas
Interesar: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: UpgradeEstado: 🔍
Hora de 0 días: 🔍
Upgrade: Serendipity 0.7.1
Línea de tiempo
2004-12-02 🔍2004-12-02 🔍
2004-12-02 🔍
2004-12-02 🔍
2004-12-02 🔍
2004-12-02 🔍
2004-12-06 🔍
2004-12-12 🔍
2004-12-31 🔍
2005-10-25 🔍
2015-03-09 🔍
2019-06-05 🔍
Fuentes
Advisory: s9y.orgInvestigador: Stefan Esser
Estado: Confirmado
Confirmado: 🔍
CVE: CVE-2004-2525 (🔍)
X-Force: 18322
SecurityTracker: 1012383
Vulnerability Center: 6418 - Serendipity Weblog Searchterm Parameter in Combat.php Cross Site Scripting Attack, Medium
SecurityFocus: 11790 - S9Y Serendipity Remote Cross-Site Scripting Vulnerability
Secunia: 13357
OSVDB: 12177 - Serendipity compat.php searchTerm Parameter XSS
Artículo
Fecha de creación: 2015-03-09 16:55Actualizaciones: 2019-06-05 12:02
Cambios: 2015-03-09 16:55 (76), 2019-06-05 12:02 (7)
Completo: 🔍
Sin comentarios aún. Idiomas: es + en.
Por favor inicie sesión para comentar.