flusity CMS core/tools/posts.php loadPostAddForm edit_post_id क्रॉस साइट स्क्रिप्टिंग
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 3.1 | $0-$5k | 0.00 |
सारांश
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, flusity CMS में पाई गई है। प्रभावित है फ़ंक्शन loadPostAddForm फ़ाइल core/tools/posts.php की। यह हेरफेर edit_post_id तर्क क्रॉस साइट स्क्रिप्टिंग उत्पन्न करता है।
यह भेद्यता CVE-2023-5810 के रूप में व्यापार की जाती है। दूरस्थ स्थान से हमला शुरू करना संभव है। साथ ही, एक शोषण मौजूद है.
यह उत्पाद निरंतर डिलीवरी प्रदान करने के लिए रोलिंग रिलीज़ का उपयोग कर रहा है। इसलिए, प्रभावित या अद्यतन रिलीज़ के लिए कोई संस्करण विवरण उपलब्ध नहीं है। इस मुद्दे को ठीक करने के लिए पैच लगाना अनुशंसित है।
विवरण
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, flusity CMS में पाई गई है। प्रभावित है फ़ंक्शन loadPostAddForm फ़ाइल core/tools/posts.php की। यह हेरफेर edit_post_id तर्क क्रॉस साइट स्क्रिप्टिंग उत्पन्न करता है। CWE के माध्यम से समस्या घोषित करने पर CWE-79 मिलता है। इस कमजोरी को प्रकाशित किया गया था 26/10/2023. यह सलाह github.com पर डाउनलोड के लिए साझा की गई है।
यह भेद्यता CVE-2023-5810 के रूप में व्यापार की जाती है। दूरस्थ स्थान से हमला शुरू करना संभव है। तकनीकी जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता औसत से कम है। साथ ही, एक शोषण मौजूद है. एक्सप्लॉइट को सार्वजनिक रूप से प्रकट किया गया है और इसका उपयोग किया जा सकता है। वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना इस हमले की तकनीक को T1059.007 घोषित करती है.
यह अवधारणा प्रमाण के रूप में घोषित है। एक्सप्लॉइट डाउनलोड के लिए github.com पर साझा किया गया है। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $0-$5k था।
यह उत्पाद निरंतर डिलीवरी प्रदान करने के लिए रोलिंग रिलीज़ का उपयोग कर रहा है। इसलिए, प्रभावित या अद्यतन रिलीज़ के लिए कोई संस्करण विवरण उपलब्ध नहीं है। 6943991c62ed87c7a57989a0cb7077316127def8 नामक पैच है। बगफिक्स github.com से डाउनलोड किया जा सकता है। इस मुद्दे को ठीक करने के लिए पैच लगाना अनुशंसित है।
उत्पाद
प्रकार
विक्रेता
नाम
लाइसेंस
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 3.2VulDB मेटा अस्थायी स्कोर: 3.1
VulDB मूल स्कोर: 2.4
VulDB अस्थायी स्कोर: 2.2
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 4.8
NVD वेक्टर: 🔍
CNA मूल स्कोर: 2.4
CNA वेक्टर (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: क्रॉस साइट स्क्रिप्टिंगCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
डाउनलोड: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: पैचस्थिति: 🔍
0-दिवसीय समय: 🔍
पैच: 6943991c62ed87c7a57989a0cb7077316127def8
समयरेखा
26/10/2023 🔍26/10/2023 🔍
26/10/2023 🔍
18/11/2023 🔍
स्रोत
सलाह: 6943991c62ed87c7a57989a0cb7077316127def8स्थिति: पुष्टि की गई
CVE: CVE-2023-5810 (🔍)
GCVE (CVE): GCVE-0-2023-5810
GCVE (VulDB): GCVE-100-243641
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रविष्टि
बनाया गया: 26/10/2023 08:19 PMअद्यतनित: 18/11/2023 05:29 PM
परिवर्तन: 26/10/2023 08:19 PM (46), 18/11/2023 05:21 PM (3), 18/11/2023 05:29 PM (28)
पूर्ण: 🔍
प्रेषक: zihe
Cache ID: 216::103
जमा करें
स्वीकृत
- जमा करें #224898: flusity-CMS edit_post_id in posts.php_ XSS (Cross Site Scripting) exists for the place parameter (द्वारा zihe)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें