Icewarp Webclient 10.1.3/10.2.0 HTTPS Post Request cross site scripting
| CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
È stata rilevata una vulnerabilità di livello problematico in Icewarp Webclient 10.1.3/10.2.0. Interessato da questa vulnerabilità è una funzione sconosciuta. Per causa della manipolazione come parte di HTTPS Post Request per mezzo di una vulerabilità di classe cross site scripting. Questo ha effetto su la integrità.
Data di scoperta del problema 18/11/2010. La vulnerabilità è stata pubblicata in data 06/12/2010 da Ron Ott, Michael Schneider e Thomas Wittmann con identificazione Advisory 2010120602 con un advisory (Website) (confermato). L'advisory è scaricabile da gosecurity.ch. La pubblicazione è stata coordinata con il produttore. Questo punto di criticità è identificato come CVE-2010-5336. Con la rete può partire l'attacco. Per l'uso non è richiesta un'autentificazione. Non sono conosciuti dettagli tecnici ma un pubblico metodo di utilizzo è disponibile.
Un metodo di utilizzo è stato sviluppato da Ron Ott/Michael Schneider/Thomas Wittmann ed è stata pubblicata immediatamente dopo il comunicato. L'exploit è scaricabile da gosecurity.ch. È stato dichiarato come proof-of-concept. Per almeno 6 giorni, questa vulnerabilità è stata classificata come 0-day exploit.
L'aggiornamento alla versione 10.2.1 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata già prima e non dopo la pubblicazione della vulnerabilità.
Prodotto
Fornitore
Nome
Versione
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.2VulDB Punteggio Meta Temp: 5.0
VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 3.9
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 6.1
NVD Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Classe: Cross site scriptingCWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Proof-of-Concept
Autore: Ron Ott/Michael Schneider/Thomas Wittmann
Scaricamento: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
|---|---|---|---|---|
| Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: UpgradeStato: 🔍
Tempo di reazione: 🔍
0 giorni di tempo: 🔍
Sfrutta il tempo di ritardo: 🔍
Upgrade: Webclient 10.2.1
Sequenza temporale
18/11/2010 🔍19/11/2010 🔍
23/11/2010 🔍
24/11/2010 🔍
06/12/2010 🔍
06/12/2010 🔍
08/10/2019 🔍
11/10/2019 🔍
25/09/2020 🔍
Fonti
Advisory: Advisory 2010120602Riceratore: Ron Ott, Michael Schneider, Thomas Wittmann
Stato: Confermato
Coordinato: 🔍
CVE: CVE-2010-5336 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍
Voce
Data di creazione: 08/10/2019 07:33Aggiornamenti: 25/09/2020 16:43
I cambiamenti: 08/10/2019 07:33 (65), 11/10/2019 13:28 (3), 25/09/2020 16:43 (1)
Completa: 🔍
Inviato: misc
Committer: misc
Submit
Accettato
- Submit #90: Multiple XSS vulnerabilities in IceWarp Webclient (di misc)
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.