Django CMS 1.9/1.10/1.11 Technical 500 Template क्रॉस साइट स्क्रिप्टिंग

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.4$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Django CMS 1.9/1.10/1.11 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक Technical 500 Template का। यह है, जो क्रॉस साइट स्क्रिप्टिंग की ओर ले जाती है। यह भेद्यता CVE-2017-12794 के रूप में व्यापार की जाती है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई शोषण उपलब्ध नहीं है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Django CMS 1.9/1.10/1.11 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक Technical 500 Template का। यह है, जो क्रॉस साइट स्क्रिप्टिंग की ओर ले जाती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-79 की ओर ले जाता है। 05/09/2017 को यह बग खोजा गया था. यह कमजोरी प्रकाशित हुई थी 05/09/2017 के रूप में Django security releases issued: 1.11.5 and 1.10.8 के रूप में News (वेबसाइट). djangoproject.com पर एडवाइजरी डाउनलोड हेतु साझा की गई है।

यह भेद्यता CVE-2017-12794 के रूप में व्यापार की जाती है। 10/08/2017 पर CVE आवंटित किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई टेक्निकल जानकारी उपलब्ध नहीं है. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई शोषण उपलब्ध नहीं है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना इस हमले की तकनीक को T1059.007 घोषित करती है.

इसे परिभाषित नहीं घोषित किया गया है। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $0-$5k था। Nessus द्वारा 103233 आईडी वाला एक प्लगइन दिया गया है। इसे Fedora Local Security Checks फैमिली के अंतर्गत रखा गया है। प्लगइन l प्रकार के संदर्भ में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 171064 प्लगइन से कर सकता है (OpenSUSE Security Update for python-Django (openSUSE-SU-2018:0826-1)).

यदि आप 1.10.8 , 1.11.5 संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। अगर DEBUG = False कॉन्फ़िगरेशन सेटिंग लागू की जाती है, तो समस्या को रोका जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा। एडवाइजरी में यह उल्लेख किया गया है:

This vulnerability shouldn't affect most production sites since you shouldn't run with DEBUG = True (which makes this page accessible) in your production settings.

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 100643), SecurityTracker (ID 1039264) , Tenable (103233).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.7
VulDB मेटा अस्थायी स्कोर: 5.6

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 5.1
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 6.1
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: क्रॉस साइट स्क्रिप्टिंग
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 103233
Nessus नाम: Fedora 26 : python-django (2017-8614a6e905)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS नाम: Fedora Update for python-django FEDORA-2017-8614a6e905
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: CMS 1.10.8/1.11.5
Config: DEBUG = False

समयरेखाजानकारी

10/08/2017 🔍
05/09/2017 +26 दिन 🔍
05/09/2017 +0 दिन 🔍
05/09/2017 +0 दिन 🔍
05/09/2017 +0 दिन 🔍
06/09/2017 +1 दिन 🔍
07/09/2017 +1 दिन 🔍
07/09/2017 +0 दिन 🔍
15/09/2017 +8 दिन 🔍
11/01/2021 +1214 दिन 🔍

स्रोतजानकारी

सलाह: Django security releases issued: 1.11.5 and 1.10.8
शोधकर्ता: Charles Bideau
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2017-12794 (🔍)
GCVE (CVE): GCVE-0-2017-12794
GCVE (VulDB): GCVE-100-106168
SecurityFocus: 100643 - Django CVE-2017-12794 Cross Site Scripting Vulnerability
SecurityTracker: 1039264

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 07/09/2017 09:15 AM
अद्यतनित: 11/01/2021 07:52 AM
परिवर्तन: 07/09/2017 09:15 AM (75), 13/11/2019 10:47 AM (11), 11/01/2021 07:47 AM (2), 11/01/2021 07:52 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you know our Splunk app?

Download it now for free!