VDB-96547 · CVE-2016-7147 · BID 96117

Plone hasta 4.3.11/5.0.6 Zope ZMI Search obj_ids:tokens cross site scripting

CVSS Meta puntuación temporalExploit Precio Actual (≈)Puntaje de interés de CTI
4.9$0-$5k0.00

Una vulnerabilidad fue encontrada en Plone hasta 4.3.11/5.0.6 (Content Management System) y clasificada como problemática. Una función desconocida del componente Zope ZMI Search es afectada por esta vulnerabilidad. Mediante la manipulación del parámetro obj_ids:tokens de un input desconocido se causa una vulnerabilidad de clase cross site scripting. Esto tiene repercusión sobre la la integridad.

El error fue descubierto el 2017-01-26. La vulnerabilidad fue publicada el 2017-02-04 por Tim Coen con un mailinglist post (Full-Disclosure) (no está definido). El advisory puede ser descargado de seclists.org. La vulnerabilidad es identificada como CVE-2016-7147. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autentificación específica. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.

Por lo menos durante 9 días, esta vulnerabilidad fue clasificada como exploit día cero.

Una actualización a la versión 4.3.12 o 5.0.7 elimina esta vulnerabilidad.

Productoinfo

Escribe

Nombre

Versión

Licencia

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3info

VulDB Puntaje metabásico: 5.2
VulDB Meta puntuación temporal: 5.1

VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 6.1
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
desbloqueardesbloqueardesbloqueardesbloqueardesbloqueardesbloquear
desbloqueardesbloqueardesbloqueardesbloqueardesbloqueardesbloquear
desbloqueardesbloqueardesbloqueardesbloqueardesbloqueardesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 🔍

Explotacióninfo

Clase: Cross site scripting
CWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007

Local: No
Remoto: Sí

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-Daydesbloqueardesbloqueardesbloqueardesbloquear
Hoydesbloqueardesbloqueardesbloqueardesbloquear

OpenVAS ID: 800339
OpenVAS Nombre: Plone CMS Multiple Vulnerabilities
OpenVAS File: 🔍
OpenVAS Family: 🔍

Inteligencia de Amenazasinfo

Interesar: 🔍
Actores Activos: 🔍
Grupos APT activos: 🔍

Contramedidasinfo

Recomendación: Upgrade
Estado: 🔍

Hora de 0 días: 🔍

Upgrade: Plone 4.3.12/5.0.7

Línea de tiempoinfo

2016-09-05 🔍
2017-01-26 +143 días 🔍
2017-02-04 +9 días 🔍
2017-02-04 +0 días 🔍
2017-02-04 +0 días 🔍
2017-02-04 +0 días 🔍
2020-08-16 +1289 días 🔍

Fuentesinfo

Advisory: seclists.org
Investigador: Tim Coen
Estado: No está definido

CVE: CVE-2016-7147 (🔍)
SecurityFocus: 96117 - Plone Incomplete Fix CVE-2016-7147 Cross-Site Scripting Vulnerability
OSVDB: - CVE-2016-7147 - Plone - Cross-Site Scripting Issue

Artículoinfo

Fecha de creación: 2017-02-04 09:53
Actualizaciones: 2020-08-16 17:00
Cambios: 2017-02-04 09:53 (65), 2020-08-16 17:00 (6)
Completo: 🔍

Discusión

Sin comentarios aún. Idiomas: es + en.

Por favor inicie sesión para comentar.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!