flusity CMS core/tools/posts.php loadPostAddForm menu_id क्रॉस साइट स्क्रिप्टिंग
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 3.1 | $0-$5k | 1.54 |
सारांश
एक जोखिम जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, flusity CMS में पाया गया है। प्रभावित होता है फ़ंक्शन loadPostAddForm फ़ाइल core/tools/posts.php का। यह परिवर्तन menu_id पैरामीटर क्रॉस साइट स्क्रिप्टिंग का कारण बनता है।
यह सुरक्षा कमजोरी CVE-2023-5811 के रूप में संदर्भित है। यह हमला दूर से किया जा सकता है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है.
यह सॉफ़्टवेयर रोलिंग रिलीज़ मॉडल का उपयोग करता है, जिससे लगातार डिलीवरी होती है। अतः प्रभावित या अपडेटेड संस्करणों का कोई विवरण उपलब्ध नहीं है। इस समस्या के समाधान के लिए पैच अप्लाई करना सुझावित है।
विवरण
एक जोखिम जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, flusity CMS में पाया गया है। प्रभावित होता है फ़ंक्शन loadPostAddForm फ़ाइल core/tools/posts.php का। यह परिवर्तन menu_id पैरामीटर क्रॉस साइट स्क्रिप्टिंग का कारण बनता है। CWE का सहारा लेकर समस्या घोषित करने से CWE-79 मिलता है। कमजोरी प्रकाशित की गई थी 26/10/2023. github.com पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।
यह सुरक्षा कमजोरी CVE-2023-5811 के रूप में संदर्भित है। यह हमला दूर से किया जा सकता है। टेक्निकल डिटेल्स उपलब्ध हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. यह एक्सप्लॉइट सार्वजनिक रूप से उजागर हो चुका है और इसका दुरुपयोग संभव है। इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है। MITRE ATT&CK परियोजना के अनुसार हमले की तकनीक T1059.007 है.
यह अवधारणा प्रमाण घोषित है। डाउनलोड के लिए एक्सप्लॉइट github.com पर उपलब्ध है। 0-day के रूप में अनुमानित भूमिगत कीमत लगभग $0-$5k थी।
यह सॉफ़्टवेयर रोलिंग रिलीज़ मॉडल का उपयोग करता है, जिससे लगातार डिलीवरी होती है। अतः प्रभावित या अपडेटेड संस्करणों का कोई विवरण उपलब्ध नहीं है। इस पैच का नाम 6943991c62ed87c7a57989a0cb7077316127def8 है। बगफिक्स डाउनलोड के लिए github.com पर उपलब्ध है। इस समस्या के समाधान के लिए पैच अप्लाई करना सुझावित है।
उत्पाद
प्रकार
विक्रेता
नाम
लाइसेंस
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 3.2VulDB मेटा अस्थायी स्कोर: 3.1
VulDB मूल स्कोर: 2.4
VulDB अस्थायी स्कोर: 2.2
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 4.8
NVD वेक्टर: 🔍
CNA मूल स्कोर: 2.4
CNA वेक्टर (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: क्रॉस साइट स्क्रिप्टिंगCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
डाउनलोड: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: पैचस्थिति: 🔍
0-दिवसीय समय: 🔍
पैच: 6943991c62ed87c7a57989a0cb7077316127def8
समयरेखा
26/10/2023 🔍26/10/2023 🔍
26/10/2023 🔍
21/04/2025 🔍
स्रोत
सलाह: 6943991c62ed87c7a57989a0cb7077316127def8स्थिति: पुष्टि की गई
CVE: CVE-2023-5811 (🔍)
GCVE (CVE): GCVE-0-2023-5811
GCVE (VulDB): GCVE-100-243642
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रविष्टि
बनाया गया: 26/10/2023 08:19 PMअद्यतनित: 21/04/2025 08:29 AM
परिवर्तन: 26/10/2023 08:19 PM (46), 18/11/2023 05:36 PM (3), 18/11/2023 05:43 PM (28), 05/06/2024 05:09 PM (22), 21/04/2025 08:29 AM (4)
पूर्ण: 🔍
प्रेषक: zihe
Cache ID: 216::103
जमा करें
स्वीकृत
- जमा करें #224899: flusity-CMS menu_id in posts.php_ XSS (Cross Site Scripting) exists for the place parameter (द्वारा zihe)
If you want to get best quality of vulnerability data, you may have to visit VulDB.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें