Tripwire Enterprise 7.0/8.2 methodCall.do m_target_class_name Reflected क्रॉस साइट स्क्रिप्टिंग

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.7$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Tripwire Enterprise 7.0/8.2 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन फ़ाइल ajaxRequest/methodCall.do की। यह हेरफेर m_target_class_name तर्क क्रॉस साइट स्क्रिप्टिंग (Reflected) उत्पन्न करता है। यह सुरक्षा कमजोरी CVE-2013-5005 के रूप में संदर्भित है। दूरस्थ स्थान से हमला शुरू करना संभव है। साथ ही, एक शोषण मौजूद है. प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

विवरणजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Tripwire Enterprise 7.0/8.2 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन फ़ाइल ajaxRequest/methodCall.do की। यह हेरफेर m_target_class_name तर्क क्रॉस साइट स्क्रिप्टिंग (Reflected) उत्पन्न करता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-79 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 12/09/2013 द्वारा Roger Sels के साथ ZeroDayLab के रूप में 2013-5005 के रूप में सलाह (वेबसाइट). यह सलाह zerodaylab.com पर डाउनलोड के लिए साझा की गई है।

यह सुरक्षा कमजोरी CVE-2013-5005 के रूप में संदर्भित है। CVE आवंटन 29/07/2013 को हुआ था. दूरस्थ स्थान से हमला शुरू करना संभव है। तकनीकी जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता औसत से कम है। साथ ही, एक शोषण मौजूद है. एक्सप्लॉइट को सार्वजनिक रूप से प्रकट किया गया है और इसका उपयोग किया जा सकता है। इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है। MITRE ATT&CK परियोजना के अनुसार हमले की तकनीक T1059.007 है.

इसे अवधारणा प्रमाण के रूप में घोषित किया गया है। एक्सप्लॉइट डाउनलोड के लिए zerodaylab.com पर साझा किया गया है। 0-day के रूप में अनुमानित भूमिगत कीमत लगभग $0-$5k थी। एडवाइजरी इंगित करती है:

Injecting in the afore-mentioned parameters will throw an exception (along with an HTTP/403 Forbidden error message from the server). The output of the exception is not sanitised properly and the javascript code is executed. (…) The original requests used the POST method, however it was possible to convert the requests to use the GET method, to enable easier demonstration and delivery of the attack.

8.3 संस्करण में अपग्रेड करने से इस समस्या का समाधान हो सकता है। अपडेट किया गया संस्करण tripwire.com से डाउनलोड के लिए तैयार है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 65242) , X-Force (90950).

उत्पादजानकारी

विक्रेता

नाम

संस्करण

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.3
VulDB मेटा अस्थायी स्कोर: 5.7

VulDB मूल स्कोर: 6.3
VulDB अस्थायी स्कोर: 5.7
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

नाम: Reflected
वर्ग: क्रॉस साइट स्क्रिप्टिंग / Reflected
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
लेखक: Roger Sels
प्रोग्रामिंग भाषा: 🔍
डाउनलोड: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
शोषण विलंब समय: 🔍

अपग्रेड: Enterprise 8.3

समयरेखाजानकारी

29/07/2013 🔍
12/09/2013 +45 दिन 🔍
12/09/2013 +0 दिन 🔍
12/09/2013 +0 दिन 🔍
29/01/2014 +138 दिन 🔍
29/01/2014 +0 दिन 🔍
31/01/2014 +2 दिन 🔍
08/06/2021 +2685 दिन 🔍

स्रोतजानकारी

सलाह: 2013-5005
शोधकर्ता: Roger Sels
संगठन: ZeroDayLab
स्थिति: पुष्टि की गई

CVE: CVE-2013-5005 (🔍)
GCVE (CVE): GCVE-0-2013-5005
GCVE (VulDB): GCVE-100-12131
X-Force: 90950 - Tripwire Enterprise methodCall.do cross-site scripting
SecurityFocus: 65242
OSVDB: 102682

scip Labs: https://www.scip.ch/en/?labs.20161013

प्रविष्टिजानकारी

बनाया गया: 31/01/2014 04:07 PM
अद्यतनित: 08/06/2021 10:10 PM
परिवर्तन: 31/01/2014 04:07 PM (64), 17/05/2018 08:40 AM (6), 08/06/2021 10:10 PM (4)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Interested in the pricing of exploits?

See the underground prices here!