VDB-103763 · CVE-2016-6798 · BID 99873

Apache Sling तक 1.0.11 XSS Protection API XSS.getValidXML Application XML External Entity

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
7.7$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache Sling तक 1.0.11 में पाई गई है। प्रभावित किया गया है फ़ंक्शन XSS.getValidXML घटक XSS Protection API का। यह हेरफेर Application के हिस्से के रूप में XML External Entity उत्पन्न करता है। इस संवेदनशीलता को CVE-2016-6798 के रूप में जाना जाता है। दूरस्थ स्थान से हमला शुरू करना संभव है। कोई शोषण उपलब्ध नहीं है. प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

विवरणजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache Sling तक 1.0.11 में पाई गई है। प्रभावित किया गया है फ़ंक्शन XSS.getValidXML घटक XSS Protection API का। यह हेरफेर Application के हिस्से के रूप में XML External Entity उत्पन्न करता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-611 प्राप्त होता है। यह बग 18/07/2017 को खोजा गया था। कमजोरी प्रकाशित की गई थी 19/07/2017 (वेबसाइट). यह सलाह securityfocus.com पर डाउनलोड के लिए साझा की गई है।

इस संवेदनशीलता को CVE-2016-6798 के रूप में जाना जाता है। 12/08/2016 पर CVE आवंटित किया गया था. दूरस्थ स्थान से हमला शुरू करना संभव है। टेक्निकल जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता औसत से कम है। कोई शोषण उपलब्ध नहीं है. वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।

इसे परिभाषित नहीं के रूप में घोषित किया गया है। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $5k-$25k थी.

यदि आप 1.0.12 संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 99873).

उत्पादजानकारी

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 8.0
VulDB मेटा अस्थायी स्कोर: 7.9

VulDB मूल स्कोर: 6.3
VulDB अस्थायी स्कोर: 6.0
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 9.8
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: XML External Entity
CWE: CWE-611 / CWE-610
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

0-दिवसीय समय: 🔍

अपग्रेड: Sling 1.0.12

समयरेखाजानकारी

12/08/2016 🔍
18/07/2017 +340 दिन 🔍
18/07/2017 +0 दिन 🔍
19/07/2017 +1 दिन 🔍
19/07/2017 +0 दिन 🔍
19/07/2017 +0 दिन 🔍
01/01/2021 +1262 दिन 🔍

स्रोतजानकारी

विक्रेता: apache.org

सलाह: securityfocus.com
शोधकर्ता: Bertrand Delacretaz
स्थिति: परिभाषित नहीं

CVE: CVE-2016-6798 (🔍)
GCVE (CVE): GCVE-0-2016-6798
GCVE (VulDB): GCVE-100-103763
SecurityFocus: 99873 - Apache Sling XSS Protection API CVE-2016-6798 XML External Entity Injection Vulnerability

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 19/07/2017 11:10 PM
अद्यतनित: 01/01/2021 07:36 PM
परिवर्तन: 19/07/2017 11:10 PM (64), 27/10/2019 09:23 AM (3), 01/01/2021 07:36 PM (3)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!