Refined Toolkit内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【UI-Image/UI-Button】の未知の機能です。 未知の値で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります。 この問題をCWEでは、CWE-79 と定義しました。 この脆弱性は 2020年11月08日ににて 紹介されました。 アドバイザリーは seclists.org から入手可能です。 この脆弱性は CVE-2020-36524 として知られています。 攻撃はリモートで開始される場合があります。 入手できる技術的詳細情報はありません。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 この脆弱性は、MITRE ATT&CKプロジェクトによって T1059.007 に割り当てられました。 このエクスプロイトツールは proof-of-concept として宣言されています。 エクスプロイトツールは seclists.org から入手可能です。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 】のプラグインを提供しています。
フィールド | 2020年11月08日 15:48 | 2022年05月27日 07:22 |
---|---|---|
name | Refined Toolkit | Refined Toolkit |
component | UI-Image/UI-Button | UI-Image/UI-Button |
cwe | 79 (クロスサイトスクリプティング) | 79 (クロスサイトスクリプティング) |
risk | 1 | 1 |
cvss3 | N | N |
cvss3 | L | L |
cvss3 | R | R |
cvss3 | U | U |
cvss3 | N | N |
cvss3 | L | L |
cvss3 | N | N |
url | https://seclists.org/fulldisclosure/2020/Oct/15 | https://seclists.org/fulldisclosure/2020/Oct/15 |
availability | 1 | 1 |
publicity | 1 | 1 |
url | https://seclists.org/fulldisclosure/2020/Oct/15 | https://seclists.org/fulldisclosure/2020/Oct/15 |
date | 1604790000 (2020年11月08日) | 1604790000 (2020年11月08日) |
cvss2 | N | N |
cvss2 | L | L |
cvss2 | N | N |
cvss2 | P | P |
cvss2 | N | N |
cvss2 | S | S |
cvss2 | ND | ND |
cvss2 | ND | ND |
cvss2 | ND | ND |
cvss3 | L | L |
cvss3 | X | X |
cvss3 | X | X |
cvss3 | X | X |
cvss2 | 4.0 | 4.0 |
cvss2 | 4.0 | 4.0 |
cvss3 | 3.5 | 3.5 |
cvss3 | 3.3 | 3.5 |
cvss3 | 3.5 | 3.5 |
cvss3 | 3.3 | 3.5 |
price | $0-$5k | $0-$5k |
cve | CVE-2020-36524 | |
responsible | VulDB |