TYPO3 तक 6.2 Content Editing Wizard क्रॉस साइट स्क्रिप्टिंग

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.0$0-$5k0.00

सारांशजानकारी

एक जोखिम जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, TYPO3 तक 6.2 में पाया गया है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Content Editing Wizard का। यह है, जो क्रॉस साइट स्क्रिप्टिंग की ओर ले जाती है। इस संवेदनशीलता को CVE-2013-7074 के रूप में जाना जाता है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई एक्सप्लॉइट नहीं मिला है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक जोखिम जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, TYPO3 तक 6.2 में पाया गया है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Content Editing Wizard का। यह है, जो क्रॉस साइट स्क्रिप्टिंग की ओर ले जाती है। CWE का सहारा लेकर समस्या घोषित करने से CWE-79 मिलता है। कमजोरी प्रकाशित की गई थी 10/12/2013 Richard Brain and Georg Ringer द्वारा TYPO3 Security Team के साथ YPO3-CORE-SA-2013-004: Multiple Vulnerabilities in TYPO3 CMS के रूप में सलाह के रूप में (वेबसाइट). typo3.org पर एडवाइजरी डाउनलोड हेतु साझा की गई है।

इस संवेदनशीलता को CVE-2013-7074 के रूप में जाना जाता है। 11/12/2013 को CVE असाइन किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1059.007 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1059.007 के रूप में घोषित करता है। एडवाइजरी के अनुसार:

Failing to properly encode user input, several content wizards are susceptible to Cross-Site Scripting, allowing authenticated editors to inject arbitrary HTML or JavaScript by crafting URL parameters.

यह परिभाषित नहीं घोषित है। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $5k-$25k थी. वल्नरेबिलिटी स्कैनर Nessus 71782 आईडी वाला एक प्लगइन प्रदान करता है। यह Debian Local Security Checks फैमिली में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 175249 प्लगइन से कर सकता है (Debian Security Update for typo3-src (DSA-2834-1)).

इस समस्या का समाधान 4.5.32, 4.7.17, 6.0.12 , 6.1.7 संस्करण में अपग्रेड करने से किया जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी दर्ज है: SecurityFocus (BID 64245), X-Force (89620), Vulnerability Center (SBV-42816) , Tenable (71782).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.3
VulDB मेटा अस्थायी स्कोर: 6.0

VulDB मूल स्कोर: 6.3
VulDB अस्थायी स्कोर: 6.0
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: क्रॉस साइट स्क्रिप्टिंग
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 71782
Nessus नाम: Debian DSA-2834-1 : typo3-src - several vulnerabilities
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 702834
OpenVAS नाम: Debian Security Advisory DSA 2834-1 (typo3-src - several vulnerabilities
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: TYPO3 4.5.32/4.7.17/6.0.12/6.1.7

समयरेखाजानकारी

12/10/2013 🔍
10/12/2013 +59 दिन 🔍
10/12/2013 +0 दिन 🔍
10/12/2013 +0 दिन 🔍
11/12/2013 +1 दिन 🔍
13/12/2013 +2 दिन 🔍
20/12/2013 +7 दिन 🔍
07/01/2014 +18 दिन 🔍
04/06/2021 +2705 दिन 🔍

स्रोतजानकारी

उत्पाद: typo3.org

सलाह: YPO3-CORE-SA-2013-004: Multiple Vulnerabilities in TYPO3 CMS
शोधकर्ता: Richard Brain, Georg Ringer
संगठन: TYPO3 Security Team
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2013-7074 (🔍)
GCVE (CVE): GCVE-0-2013-7074
GCVE (VulDB): GCVE-100-11482

OVAL: 🔍

X-Force: 89620
SecurityFocus: 64245 - TYPO3 Content Editing Wizards Unspecified Cross Site Scripting Vulnerability
OSVDB: 100881
Vulnerability Center: 42816 - TYPO3 Content Editing Wizards Component Remote XSS Vulnerability via Unspecified Parameters - CVE-2013-7074, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 13/12/2013 09:01 AM
अद्यतनित: 04/06/2021 09:37 AM
परिवर्तन: 13/12/2013 09:01 AM (71), 19/05/2017 10:34 AM (10), 04/06/2021 09:37 AM (3)
पूर्ण: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you know our Splunk app?

Download it now for free!