Business Objects Crystal Enterprise fino a 10 Report .RPT URL cross site scripting
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Riassunto
È stata trovata una vulnerabilità classificata come problematico in Business Objects Crystal Enterprise fino a 10. Viene interessata una funzione sconosciuta appartenente al componente Report .RPT URL Handler. Per causa della manipolazione di un input sconosciuto se causa una vulnerabilità di classe cross site scripting. Questa vulnerabilità viene indicata come CVE-2004-2742. L'attacco deve essere fatto localmente. Inoltre, è presente un exploit disponibile. Si consiglia di applicare una patch per risolvere questo problema.
Dettagli
È stata rilevata una vulnerabilità di livello problematico in Business Objects Crystal Enterprise fino a 10. Da questa vulnerabilità è interessato una funzione sconosciuta del componente Report .RPT URL Handler. La manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe cross site scripting. Questo agisce su riservatezza, integrità e disponibilità.
Data di scoperta del problema 10/11/2004. La vulnerabilità è stata pubblicata in data 27/12/2004 da Business Objects (Website) (confermato). L'advisory è scaricabile da support.businessobjects.com. Questo punto di criticità è identificato come CVE-2004-2742. La vulnerabilità è relativamente apprezzata, a causa della bassa complessità. L'attacco necessita di essere iniziato localmente. Per l'uso non è richiesta un'autentificazione. Non sono conosciuti dettagli tecnici ma un metodo di utilizzo è disponibile.
È stato dichiarato come altamente funzionale. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 47 giorni.
Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da support.businessobjects.com.
La vulnerabilità è documentata anche nel database X-Force (18684), SecurityFocus (BID 12107†), OSVDB (12596†), Secunia (SA13644†) e SecurityTracker (ID 1012703†). If you want to get best quality of vulnerability data, you may have to visit VulDB.
Prodotto
Fornitore
Nome
Versione
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 4.5VulDB Punteggio meta temporaneo: 4.3
VulDB Punteggio di base: 4.5
VulDB Punteggio temporaneo: 4.3
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Cross site scriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Fisico: Parzialmente
Locale: Si
Remoto: Si
Disponibilità: 🔍
Stato: Altamente funzionale
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo 0 giorni: 🔍
Patch: support.businessobjects.com
Sequenza temporale
10/11/2004 🔍27/12/2004 🔍
27/12/2004 🔍
27/12/2004 🔍
27/12/2004 🔍
27/12/2004 🔍
31/12/2004 🔍
10/01/2005 🔍
08/10/2007 🔍
30/06/2019 🔍
Fonti
Avis: support.businessobjects.comRicercatore: http://www.businessobjects.com
Organizzazione: Business Objects
Stato: Confermato
Conferma: 🔍
CVE: CVE-2004-2742 (🔍)
GCVE (CVE): GCVE-0-2004-2742
GCVE (VulDB): GCVE-100-1090
X-Force: 18684 - Crystal Enterprise report files cross-site scripting, Medium Risk
SecurityFocus: 12107 - Business Objects Crystal Enterprise Report File Cross-Site Scripting Vulnerability
Secunia: 13644 - Crystal Enterprise Report File Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 12596 - Crystal Enterprise Report File XSS
SecurityTracker: 1012703
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 10/01/2005 11:10Aggiornato: 30/06/2019 20:08
Cambiamenti: 10/01/2005 11:10 (79), 30/06/2019 20:08 (1)
Completa: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.