VideoLAN VLC Media Player fino 2.0.6 Parameter requests/vlm_cmd.xml command cross site scripting
| CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Una vulnerabilità di livello problematico è stata rilevata in VideoLAN VLC Media Player fino 2.0.6 (Multimedia Player Software). É interessato una funzione sconosciuta del file requests/vlm_cmd.xml del componente Parameter Handler. Attraverso l'influenza del parametro command di un input sconosciuto se causa una vulnerabilità di classe cross site scripting. Non sono ancora conosciuti gli effetti esatti di un attacco con sussesso.
La vulnerabilità è stata pubblicata in data 21/04/2023 (confermato). L'advisory è scaricabile da www3.trustwave.com. Questa vulnerabilità è identificata come CVE-2013-3565. Nella rete si effettua l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.
L'exploit è scaricabile da git.videolan.org. È stato dichiarato come proof-of-concept. Cercando inurl:requests/vlm_cmd.xml è possibile trovare obiettivi vulnerabili con Google Hacking.
L'aggiornamento alla versione 2.0.7 elimina questa vulnerabilità. Applicando la patch bf02b8dd211d5a52aa301a9a2ff4e73ed8195881 è possibile eliminare il problema. Il bugfix è scaricabile da git.videolan.org. Il miglior modo suggerito per attenuare il problema è aggiornamento all'ultima versione.
Prodotto
Genere
Fornitore
Nome
Versione
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.2VulDB Punteggio Meta Temp: 5.0
VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 3.9
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 6.1
NVD Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Classe: Cross site scriptingCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Proof-of-Concept
Scaricamento: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
|---|---|---|---|---|
| Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: UpgradeStato: 🔍
0 giorni di tempo: 🔍
Upgrade: VLC Media Player 2.0.7
Patch: bf02b8dd211d5a52aa301a9a2ff4e73ed8195881
Sequenza temporale
21/05/2013 🔍21/04/2023 🔍
21/04/2023 🔍
21/04/2023 🔍
Fonti
Fornitore: videolan.orgAdvisory: www3.trustwave.com
Stato: Confermato
CVE: CVE-2013-3565 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍
Voce
Data di creazione: 21/04/2023 22:47I cambiamenti: 21/04/2023 22:47 (64)
Completa: 🔍
Cache ID: 13:A89:103
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.