TYPO3 तक 4.7.16 Extension Manager Reflected क्रॉस साइट स्क्रिप्टिंग

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.3$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, TYPO3 तक 4.7.16 में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन Extension Manager घटक का हिस्सा है। यह परिवर्तन क्रॉस साइट स्क्रिप्टिंग (Reflected) का कारण बनता है। इस भेद्यता को CVE-2013-7076 के रूप में ट्रेड किया जाता है। यह हमला दूर से किया जा सकता है। कोई एक्सप्लॉइट उपलब्ध नहीं है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, TYPO3 तक 4.7.16 में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन Extension Manager घटक का हिस्सा है। यह परिवर्तन क्रॉस साइट स्क्रिप्टिंग (Reflected) का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-79 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 10/12/2013 द्वारा Steffen Müller के रूप में TYPO3-CORE-SA-2013-004: Multiple Vulnerabilities in TYPO3 CMS के रूप में सलाह (वेबसाइट). typo3.org पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।

इस भेद्यता को CVE-2013-7076 के रूप में ट्रेड किया जाता है। CVE असाइनमेंट 11/12/2013 को हुआ। यह हमला दूर से किया जा सकता है। कोई तकनीकी विवरण उपलब्ध नहीं है। यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट उपलब्ध नहीं है। फिलहाल एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। यदि T1059.007 उपलब्ध है, तो MITRE ATT&CK प्रोजेक्ट द्वारा हमले की तकनीक को T1059.007 के रूप में घोषित किया जाता है। एडवाइजरी इंगित करती है:

Failing to properly encode user input, the extension manager is susceptible to Cross-Site Scripting. To exploit this vulnerability, attackers could trick authenticated administrators to follow a forged URL which executes injected JavaScript on behalf of the administrator.

इसे परिभाषित नहीं घोषित किया गया है। 0-डे के रूप में इसका अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था. Nessus द्वारा 71782 आईडी वाला एक प्लगइन दिया गया है। इसे Debian Local Security Checks फैमिली के अंतर्गत रखा गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 175249 प्लगइन से कर सकता है (Debian Security Update for typo3-src (DSA-2834-1)).

4.5.32 , 4.7.17 संस्करण में अपग्रेड करना इस समस्या को दूर कर सकता है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 64247), X-Force (89624), Vulnerability Center (SBV-42818) , Tenable (71782).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.5
VulDB मेटा अस्थायी स्कोर: 5.3

VulDB मूल स्कोर: 5.5
VulDB अस्थायी स्कोर: 5.3
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

नाम: Reflected
वर्ग: क्रॉस साइट स्क्रिप्टिंग / Reflected
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 71782
Nessus नाम: Debian DSA-2834-1 : typo3-src - several vulnerabilities
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 702834
OpenVAS नाम: Debian Security Advisory DSA 2834-1 (typo3-src - several vulnerabilities
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: TYPO3 4.5.32/4.7.17

समयरेखाजानकारी

10/12/2013 🔍
10/12/2013 +0 दिन 🔍
10/12/2013 +0 दिन 🔍
10/12/2013 +0 दिन 🔍
11/12/2013 +1 दिन 🔍
13/12/2013 +2 दिन 🔍
20/12/2013 +7 दिन 🔍
07/01/2014 +18 दिन 🔍
04/06/2021 +2705 दिन 🔍

स्रोतजानकारी

उत्पाद: typo3.org

सलाह: TYPO3-CORE-SA-2013-004: Multiple Vulnerabilities in TYPO3 CMS
शोधकर्ता: Steffen Müller
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2013-7076 (🔍)
GCVE (CVE): GCVE-0-2013-7076
GCVE (VulDB): GCVE-100-11484

OVAL: 🔍

X-Force: 89624
SecurityFocus: 64247 - TYPO3 Extension Manager Unspecified Cross Site Scripting Vulnerability
OSVDB: 100883
Vulnerability Center: 42818 - TYPO3 Extension Manager Component Remote XSS Vulnerability via Unspecified Vectors - CVE-2013-7076, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 13/12/2013 09:01 AM
अद्यतनित: 04/06/2021 09:43 AM
परिवर्तन: 13/12/2013 09:01 AM (76), 19/05/2017 10:35 AM (4), 04/06/2021 09:43 AM (3)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Might our Artificial Intelligence support you?

Check our Alexa App!