Django CMS 1.9/1.10/1.11 Technical 500 Template क्रॉस साइट स्क्रिप्टिंग
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Django CMS 1.9/1.10/1.11 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक Technical 500 Template का। यह है, जो क्रॉस साइट स्क्रिप्टिंग की ओर ले जाती है। यह भेद्यता CVE-2017-12794 के रूप में व्यापार की जाती है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई शोषण उपलब्ध नहीं है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
विवरण
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Django CMS 1.9/1.10/1.11 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक Technical 500 Template का। यह है, जो क्रॉस साइट स्क्रिप्टिंग की ओर ले जाती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-79 की ओर ले जाता है। 05/09/2017 को यह बग खोजा गया था. यह कमजोरी प्रकाशित हुई थी 05/09/2017 के रूप में Django security releases issued: 1.11.5 and 1.10.8 के रूप में News (वेबसाइट). djangoproject.com पर एडवाइजरी डाउनलोड हेतु साझा की गई है।
यह भेद्यता CVE-2017-12794 के रूप में व्यापार की जाती है। 10/08/2017 पर CVE आवंटित किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई टेक्निकल जानकारी उपलब्ध नहीं है. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई शोषण उपलब्ध नहीं है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना इस हमले की तकनीक को T1059.007 घोषित करती है.
इसे परिभाषित नहीं घोषित किया गया है। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $0-$5k था। Nessus द्वारा 103233 आईडी वाला एक प्लगइन दिया गया है। इसे Fedora Local Security Checks फैमिली के अंतर्गत रखा गया है। प्लगइन l प्रकार के संदर्भ में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 171064 प्लगइन से कर सकता है (OpenSUSE Security Update for python-Django (openSUSE-SU-2018:0826-1)).
यदि आप 1.10.8 , 1.11.5 संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। अगर DEBUG = False कॉन्फ़िगरेशन सेटिंग लागू की जाती है, तो समस्या को रोका जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा। एडवाइजरी में यह उल्लेख किया गया है:
This vulnerability shouldn't affect most production sites since you shouldn't run with DEBUG = True (which makes this page accessible) in your production settings.
कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 100643), SecurityTracker (ID 1039264) , Tenable (103233).
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.7VulDB मेटा अस्थायी स्कोर: 5.6
VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 5.1
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 6.1
NVD वेक्टर: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: क्रॉस साइट स्क्रिप्टिंगCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 103233
Nessus नाम: Fedora 26 : python-django (2017-8614a6e905)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
OpenVAS ID: 867773
OpenVAS नाम: Fedora Update for python-django FEDORA-2017-8614a6e905
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: CMS 1.10.8/1.11.5
Config: DEBUG = False
समयरेखा
10/08/2017 🔍05/09/2017 🔍
05/09/2017 🔍
05/09/2017 🔍
05/09/2017 🔍
06/09/2017 🔍
07/09/2017 🔍
07/09/2017 🔍
15/09/2017 🔍
11/01/2021 🔍
स्रोत
सलाह: Django security releases issued: 1.11.5 and 1.10.8शोधकर्ता: Charles Bideau
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2017-12794 (🔍)
GCVE (CVE): GCVE-0-2017-12794
GCVE (VulDB): GCVE-100-106168
SecurityFocus: 100643 - Django CVE-2017-12794 Cross Site Scripting Vulnerability
SecurityTracker: 1039264
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 07/09/2017 09:15 AMअद्यतनित: 11/01/2021 07:52 AM
परिवर्तन: 07/09/2017 09:15 AM (75), 13/11/2019 10:47 AM (11), 11/01/2021 07:47 AM (2), 11/01/2021 07:52 AM (1)
पूर्ण: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें