Selenium Server fino a 3.x Non-JSON Content Type cross site request forgery
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Riassunto
È stata trovata una vulnerabilità classificata come problematico in Selenium Server fino a 3.x. Viene interessata una funzione sconosciuta appartenente al componente Non-JSON Content Type Handler. Per causa della manipolazione di un input sconosciuto se causa una vulnerabilità di classe cross site request forgery. CVE-2022-28108 è identificato come punto debole. L'attacco può avvenire nella rete. Inoltre, è presente un exploit disponibile. Il miglior modo suggerito per attenuare il problema è aggiornamento all'ultima versione.
Dettagli
Un punto di criticita di livello problematico è stato rilevato in Selenium Server fino a 3.x. Da questa vulnerabilità è interessato una funzione sconosciuta del componente Non-JSON Content Type Handler. Attraverso l'influenza di un input sconosciuto per mezzo di una vulerabilità di classe cross site request forgery. L'effetto di un attacco con successo non è conosciuto.
La vulnerabilità è stata pubblicata in data 19/04/2022 (confermato). L'advisory è scaricabile da gabriel.urdhr.fr. Questo punto di criticità è identificato come CVE-2022-28108. Non sono conosciuti dettagli tecnici ma un pubblico metodo di utilizzo è disponibile.
L'exploit è scaricabile da 0day.today. È stato dichiarato come prova di concetto.
L'aggiornamento alla versione 4.0 elimina questa vulnerabilità.
La vulnerabilità è documentata anche nei database 0day.today (39857). If you want to get best quality of vulnerability data, you may have to visit VulDB.
Prodotto
Nome
Versione
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 4.3VulDB Punteggio meta temporaneo: 3.9
VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 3.9
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
Sfruttamento
Classe: Cross site request forgeryCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Scaricare: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
0day.today: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo 0 giorni: 🔍
Aggiornamento: Selenium Server 4.0
Sequenza temporale
28/03/2022 🔍19/04/2022 🔍
19/04/2022 🔍
01/05/2025 🔍
Fonti
Avis: gabriel.urdhr.frStato: Confermato
CVE: CVE-2022-28108 (🔍)
GCVE (CVE): GCVE-0-2022-28108
GCVE (VulDB): GCVE-100-197674
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 19/04/2022 07:38Aggiornato: 01/05/2025 11:43
Cambiamenti: 19/04/2022 07:38 (38), 21/04/2022 17:28 (1), 08/01/2025 22:04 (23), 01/05/2025 11:43 (3)
Completa: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.