Catalyst-Plugin-Session まで0.40 Session ID Session.pm _load_sessionid sid クロスサイトスクリプティング

エントリ履歴jsonxmlCTI

脆弱性が Catalyst-Plugin-Session まで0.40 内に見つかりました。この脆弱性は問題があるとして分類されました。この脆弱性により影響を受けるのは、コンポーネント【Session ID Handler】のファイル【lib/Catalyst/Plugin/Session.pm】に含まれる関数【_load_sessionid】です。【sid】引数を未知の値で改ざんすることが、クロスサイトスクリプティングを突く攻撃に繋がります。この問題をCWEでは、CWE-79 と定義しました。この脆弱性は 2022年12月28日ににて「88d1b599e1163761c9bd53bec53ba078f13e09d4」として紹介されました。アドバイザリーは github.com で共有されています。この脆弱性は CVE-2018-25052 として知られています。攻撃はリモートで開始される可能性が高いです。技術的詳細情報が入手可能です。入手できるエクスプロイトツールはありません。現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1059.007 を使用しました。このエクスプロイトツールは未定義として宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。】のプラグインを提供しています。バージョン 0.41 をアップグレードすることで、この問題に対処できます。アップグレードされたバージョンは、github.com からダウンロードする準備ができています。パッチ名は 88d1b599e1163761c9bd53bec53ba078f13e09d4 です。バグフィックスは、github.com からダウンロードすることが可能です。影響を受けているコンポーネントのアップグレードを推奨します。

フィールド	2022年12月28日 12:24	2023年01月25日 15:49	2023年01月25日 15:54
name	Catalyst-Plugin-Session	Catalyst-Plugin-Session	Catalyst-Plugin-Session
version	<=0.40	<=0.40	<=0.40
component	Session ID Handler	Session ID Handler	Session ID Handler
file	lib/Catalyst/Plugin/Session.pm	lib/Catalyst/Plugin/Session.pm	lib/Catalyst/Plugin/Session.pm
function	_load_sessionid	_load_sessionid	_load_sessionid
argument	sid	sid	sid
cwe	79 (クロスサイトスクリプティング)	79 (クロスサイトスクリプティング)	79 (クロスサイトスクリプティング)
risk	1	1	1
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_ui	R	R	R
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	N	N	N
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	N	N	N
cvss3_vuldb_rl	O	O	O
cvss3_vuldb_rc	C	C	C
identifier	88d1b599e1163761c9bd53bec53ba078f13e09d4	88d1b599e1163761c9bd53bec53ba078f13e09d4	88d1b599e1163761c9bd53bec53ba078f13e09d4
url	https://github.com/perl-catalyst/Catalyst-Plugin-Session/commit/88d1b599e1163761c9bd53bec53ba078f13e09d4	https://github.com/perl-catalyst/Catalyst-Plugin-Session/commit/88d1b599e1163761c9bd53bec53ba078f13e09d4	https://github.com/perl-catalyst/Catalyst-Plugin-Session/commit/88d1b599e1163761c9bd53bec53ba078f13e09d4
name	アップグレード	アップグレード	アップグレード
upgrade_version	0.41	0.41	0.41
upgrade_url	https://github.com/perl-catalyst/Catalyst-Plugin-Session/releases/tag/0.41	https://github.com/perl-catalyst/Catalyst-Plugin-Session/releases/tag/0.41	https://github.com/perl-catalyst/Catalyst-Plugin-Session/releases/tag/0.41
patch_name	88d1b599e1163761c9bd53bec53ba078f13e09d4	88d1b599e1163761c9bd53bec53ba078f13e09d4	88d1b599e1163761c9bd53bec53ba078f13e09d4
patch_url	https://github.com/perl-catalyst/Catalyst-Plugin-Session/commit/88d1b599e1163761c9bd53bec53ba078f13e09d4	https://github.com/perl-catalyst/Catalyst-Plugin-Session/commit/88d1b599e1163761c9bd53bec53ba078f13e09d4	https://github.com/perl-catalyst/Catalyst-Plugin-Session/commit/88d1b599e1163761c9bd53bec53ba078f13e09d4
cve	CVE-2018-25052	CVE-2018-25052	CVE-2018-25052
responsible	VulDB	VulDB	VulDB
date	1672182000 (2022年12月28日)	1672182000 (2022年12月28日)	1672182000 (2022年12月28日)
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	L	L	L
cvss2_vuldb_ci	N	N	N
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	N	N	N
cvss2_vuldb_rc	C	C	C
cvss2_vuldb_rl	OF	OF	OF
cvss2_vuldb_au	S	S	S
cvss2_vuldb_e	ND	ND	ND
cvss3_vuldb_pr	L	L	L
cvss3_vuldb_e	X	X	X
cvss2_vuldb_basescore	4.0	4.0	4.0
cvss2_vuldb_tempscore	3.5	3.5	3.5
cvss3_vuldb_basescore	3.5	3.5	3.5
cvss3_vuldb_tempscore	3.4	3.4	3.4
cvss3_meta_basescore	3.5	3.5	4.4
cvss3_meta_tempscore	3.4	3.4	4.3
price_0day	$0-$5k	$0-$5k	$0-$5k
cve_assigned		1672182000 (2022年12月28日)	1672182000 (2022年12月28日)
cve_nvd_summary		A vulnerability has been found in Catalyst-Plugin-Session up to 0.40 and classified as problematic. This vulnerability affects the function _load_sessionid of the file lib/Catalyst/Plugin/Session.pm of the component Session ID Handler. The manipulation of the argument sid leads to cross site scripting. The attack can be initiated remotely. Upgrading to version 0.41 is able to address this issue. The name of the patch is 88d1b599e1163761c9bd53bec53ba078f13e09d4. It is recommended to upgrade the affected component. VDB-216958 is the identifier assigned to this vulnerability.	A vulnerability has been found in Catalyst-Plugin-Session up to 0.40 and classified as problematic. This vulnerability affects the function _load_sessionid of the file lib/Catalyst/Plugin/Session.pm of the component Session ID Handler. The manipulation of the argument sid leads to cross site scripting. The attack can be initiated remotely. Upgrading to version 0.41 is able to address this issue. The name of the patch is 88d1b599e1163761c9bd53bec53ba078f13e09d4. It is recommended to upgrade the affected component. VDB-216958 is the identifier assigned to this vulnerability.
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			N
cvss3_nvd_ui			R
cvss3_nvd_s			C
cvss3_nvd_c			L
cvss3_nvd_i			L
cvss3_nvd_a			N
cvss3_cna_av			N
cvss3_cna_ac			L
cvss3_cna_pr			L
cvss3_cna_ui			R
cvss3_cna_s			U
cvss3_cna_c			N
cvss3_cna_i			L
cvss3_cna_a			N
cve_cna			VulDB
cvss3_nvd_basescore			6.1
cvss3_cna_basescore			3.5

◂ 前概要次 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!