VDB-10255 · EDB 28243 · BID 62310

Synology DiskStation Manager 4.3-3776 Web Interface /webman/info.cgi host/target/add Reflected cross site scripting

CVSS Score de méta-températureExploit Prix Actuel (≈)Score d'intérêt CTI
5.1$0-$5k0.00

Une vulnérabilité qui a été classée problématique a été trouvée dans Synology DiskStation Manager 4.3-3776 (Network Attached Storage Software). Ceci affecte une fonction inconnue du fichier /webman/info.cgi du composant Web Interface. A cause de la manipulation du paramètre host/target/add avec une valeur d'entrée inconnue mène à une vulnérabilité de classe cross site scripting.

La vulnerabilité a été publié en 10/09/2013 par Andrea Fabrizi avec andreafabrizi.it avec le numéro d'identification Synology DSM multiple vulnerabilities avec mailinglist post (Bugtraq) (confirmé). La notice d'information est disponible en téléchargement sur seclists.org Le fabricant n'était pas impliqué dans la publication. L'exploitation est considérée comme facile. L'attaque peut être initialisée à distance. Des details techniques et aussi un publique exploit sont connus.

Un exploit a été developpé par Andrea Fabrizi en HTTP Request et a été publié immédiatement après la notice d'information. L'exploit est disponible au téléchargment sur seclists.org. Il est déclaré comme proof-of-concept.

Il est possible d'attenuer le problème en filtrant dans le pare-feu.

La vulnérabilité est aussi documentée dans la base de données Exploit-DB (28243).

Produitinfo

Taper

Fournisseur

Nom

Version

Licence

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv3info

VulDB Score méta-base: 5.5
VulDB Score de méta-température: 5.1

VulDB Note de base: 5.5
VulDB Note temporaire: 5.1
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VecteurComplexitéAuthentificationConfidentialitéIntégritéDisponibilité
ouvrirouvrirouvrirouvrirouvrirouvrir
ouvrirouvrirouvrirouvrirouvrirouvrir
ouvrirouvrirouvrirouvrirouvrirouvrir

VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍

Exploitinginfo

Nom: Reflected
Classe: Cross site scripting / Reflected
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007

Localement: Non
Remote: Oui

Disponibilité: 🔍
Accéder: Publique
Statut: Proof-of-Concept
Auteur: Andrea Fabrizi
Langage de programmation: 🔍
Télécharger: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍

0-Dayouvrirouvrirouvrirouvrir
Aujourd'huiouvrirouvrirouvrirouvrir

Exploit-DB: 🔍

Renseignements sur les menacesinfo

Intérêt: 🔍
Acteurs actifs: 🔍
Groupes APT actifs: 🔍

Contre-mesuresinfo

Recommandé: Firewall
Statut: 🔍

Heure 0 jour: 🔍
Délai d'exploitation: 🔍

Chronologieinfo

10/09/2013 🔍
10/09/2013 +0 jours 🔍
10/09/2013 +0 jours 🔍
12/09/2013 +2 jours 🔍
13/09/2013 +1 jours 🔍
29/03/2019 +2023 jours 🔍

Sourcesinfo

Fournisseur: synology.com

Bulletin: Synology DSM multiple vulnerabilities
Chercheur: Andrea Fabrizi
Organisation: andreafabrizi.it
Statut: Confirmé
SecurityFocus: 62310
OSVDB: 97172

scip Labs: https://www.scip.ch/en/?labs.20161013
Voir aussi: 🔍

Entréeinfo

Établi: 13/09/2013 11:21
Mise à jour: 29/03/2019 15:42
Changements: 13/09/2013 11:21 (54), 29/03/2019 15:42 (6)
Compléter: 🔍

Discussion

Aucun commentaire pour l'instant. Langues: fr + en.

Veuillez vous connecter pour commenter.

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!