VDB-118475 · CVE-2018-11627 · Qualys 277350

Sinatra fino 2.0.1 400 Page Request cross site scripting

VocemodificareHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreExploit Prezzo Attuale (≈)CTI Interest Score
4.9$0-$5k0.00

Un punto di debole di livello problematico è stato rilevato in Sinatra fino 2.0.1. É interessato una funzione sconosciuta del componente 400 Page. La manipolazione come parte di Request conseguenza di una vulerabilità di classe cross site scripting. Gli effetti sono noti per la integrità.

Data di scoperta del problema 21/05/2018. La vulnerabilità è stata pubblicata in data 31/05/2018 (Website) (non definito). L'advisory è scaricabile da github.com. CVE-2018-11627 è identificato come punto debole. L'attacco può essere lanciato da remoto. Nessuna autentificazione è richiesta per l'uso. Dettagli tecnici sul punto critico come anche metodo d'utilizzo non sono a disposizione.

Per almeno 10 giorni, questa vulnerabilità è stata classificata come 0-day exploit. Un plugin è disponibile per lo scanner Nessus, numero ID 110667 (Fedora 27 : 1:rubygem-sinatra (2018-0b17e1e529)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 2.0.2 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata 4 settimane dopo la pubblicazione della vulnerabilità.

La vulnerabilità è documentata anche nei database Tenable (110667).

Prodottoinfomodificare

Name

CPE 2.3infomodificare

CPE 2.2infomodificare

CVSSv3infomodificare

VulDB Meta Base Score: 5.2
VulDB Meta Temp Score: 4.9

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Affidabilità: 🔍

NVD Base Score: 6.1
NVD Vector: 🔍

CVSSv2infomodificare

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplessitàAutenticazioneConfidentialityIntegrityDisponibilità
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Affidabilità: 🔍

NVD Base Score: 🔍

Exploitinginfomodificare

Classe: Cross site scripting
CWE: CWE-79
ATT&CK: T1059.007

Locale: No
Remoto: Si

Disponibilità: 🔍
Status: Non definito

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Dayunlockunlockunlockunlock
Oggiunlockunlockunlockunlock

Nessus ID: 110667
Nessus Name: Fedora 27 : 1:rubygem-sinatra (2018-0b17e1e529)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Intelligence Sulle Minacceinfomodificare

Minaccia: 🔍
Avversari: 🔍
Geopolitica: 🔍
Economia: 🔍
Predizioni: 🔍
Contromisure: 🔍

Contromisureinfomodificare

Raccomandazione: Upgrade
Status: 🔍

Reaction Time: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Sinatra 2.0.2

Sequenza temporaleinfomodificare

21/05/2018 🔍
31/05/2018 +9 giorni 🔍
31/05/2018 +0 giorni 🔍
31/05/2018 +0 giorni 🔍
01/06/2018 +1 giorni 🔍
23/06/2018 +22 giorni 🔍
25/06/2018 +2 giorni 🔍
10/02/2020 +595 giorni 🔍

Fontiinfomodificare

Advisory: github.com
Status: Non definito

CVE: CVE-2018-11627 (🔍)

Voceinfomodificare

Data di creazione: 01/06/2018 10:34
Aggiornamenti: 10/02/2020 16:40
I cambiamenti: (2) vulnerability_discoverydate countermeasure_date
Completa: 🔍

Commenti

Ancora nessun commento. Effettua il login per commentare.

Do you know our Splunk app?

Download it now for free!