shannah Xataface まで2.x Installer install_form.js.php testftp クロスサイトスクリプティング

エントリ履歴差分jsonxmlCTI

shannah Xataface まで2.x内に問題があるとして分類された脆弱性が発見されました。この問題により影響を受けるのは、コンポーネント【Installer】のファイル【install/install_form.js.php】に含まれる関数【testftp】です。未知の値で改ざんすることが、クロスサイトスクリプティングを突く攻撃に繋がります。この問題をCWEでは、CWE-79 と定義しました。この脆弱性は 2023年01月05日ににて「94143a4299e386f33bf582139cd4702571d93bde」として紹介されました。アドバイザリーは github.com から入手可能です。この脆弱性は CVE-2021-4303 として知られています。攻撃はリモートで開始される場合があります。技術的詳細情報が入手可能です。入手できるエクスプロイトツールはありません。現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。この脆弱性は、MITRE ATT&CKプロジェクトによって T1059.007 に割り当てられました。このエクスプロイトツールは未定義として宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。】のプラグインを提供しています。バージョン 3.0.0 をアップグレードすることで、この問題に対処できます。アップグレードされたバージョンは、github.com からダウンロードする準備ができています。パッチ名は 94143a4299e386f33bf582139cd4702571d93bde です。バグフィックスは、github.com からダウンロードすることが可能です。影響を受けているコンポーネントのアップグレードを推奨します。考えられる回避策が、前として脆弱性の公開後公表されました。

フィールド	2023年01月05日 09:49	2023年01月28日 14:41	2023年01月28日 14:43
upgrade_url	https://github.com/shannah/xataface/releases/tag/3.0.0	https://github.com/shannah/xataface/releases/tag/3.0.0	https://github.com/shannah/xataface/releases/tag/3.0.0
patch_name	94143a4299e386f33bf582139cd4702571d93bde	94143a4299e386f33bf582139cd4702571d93bde	94143a4299e386f33bf582139cd4702571d93bde
patch_url	https://github.com/shannah/xataface/commit/94143a4299e386f33bf582139cd4702571d93bde	https://github.com/shannah/xataface/commit/94143a4299e386f33bf582139cd4702571d93bde	https://github.com/shannah/xataface/commit/94143a4299e386f33bf582139cd4702571d93bde
advisoryquote	Fixed XSS vulnerability reported by hitisec. This is low threat since it is in the installer, which is disabled by default, and should only be enabled temporarily by trusted parties. E.g. in order to even reach the vulnerability, the user would need to	Fixed XSS vulnerability reported by hitisec. This is low threat since it is in the installer, which is disabled by default, and should only be enabled temporarily by trusted parties. E.g. in order to even reach the vulnerability, the user would need to	Fixed XSS vulnerability reported by hitisec. This is low threat since it is in the installer, which is disabled by default, and should only be enabled temporarily by trusted parties. E.g. in order to even reach the vulnerability, the user would need to
cve	CVE-2021-4303	CVE-2021-4303	CVE-2021-4303
responsible	VulDB	VulDB	VulDB
response_summary	Installer is disabled by default.	Installer is disabled by default.	Installer is disabled by default.
date	1672873200 (2023年01月05日)	1672873200 (2023年01月05日)	1672873200 (2023年01月05日)
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	H	H	H
cvss2_vuldb_au	M	M	M
cvss2_vuldb_ci	N	N	N
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	N	N	N
cvss2_vuldb_rc	C	C	C
cvss2_vuldb_rl	OF	OF	OF
cvss2_vuldb_e	ND	ND	ND
cvss3_vuldb_e	X	X	X
cvss2_vuldb_basescore	1.7	1.7	1.7
cvss2_vuldb_tempscore	1.5	1.5	1.5
cvss3_vuldb_basescore	2.0	2.0	2.0
cvss3_vuldb_tempscore	1.9	1.9	1.9
cvss3_meta_basescore	2.0	2.0	3.4
cvss3_meta_tempscore	1.9	1.9	3.3
price_0day	$0-$5k	$0-$5k	$0-$5k
vendor	shannah	shannah	shannah
name	Xataface	Xataface	Xataface
version	<=2.x	<=2.x	<=2.x
component	Installer	Installer	Installer
file	install/install_form.js.php	install/install_form.js.php	install/install_form.js.php
function	testftp	testftp	testftp
cwe	79 (クロスサイトスクリプティング)	79 (クロスサイトスクリプティング)	79 (クロスサイトスクリプティング)
risk	1	1	1
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	H	H	H
cvss3_vuldb_pr	H	H	H
cvss3_vuldb_ui	R	R	R
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	N	N	N
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	N	N	N
cvss3_vuldb_rl	O	O	O
cvss3_vuldb_rc	C	C	C
identifier	94143a4299e386f33bf582139cd4702571d93bde	94143a4299e386f33bf582139cd4702571d93bde	94143a4299e386f33bf582139cd4702571d93bde
url	https://github.com/shannah/xataface/commit/94143a4299e386f33bf582139cd4702571d93bde	https://github.com/shannah/xataface/commit/94143a4299e386f33bf582139cd4702571d93bde	https://github.com/shannah/xataface/commit/94143a4299e386f33bf582139cd4702571d93bde
name	アップグレード	アップグレード	アップグレード
upgrade_version	3.0.0	3.0.0	3.0.0
cve_assigned		1672873200 (2023年01月05日)	1672873200 (2023年01月05日)
cve_nvd_summary		A vulnerability, which was classified as problematic, has been found in shannah Xataface up to 2.x. Affected by this issue is the function testftp of the file install/install_form.js.php of the component Installer. The manipulation leads to cross site scripting. The attack may be launched remotely. Upgrading to version 3.0.0 is able to address this issue. The name of the patch is 94143a4299e386f33bf582139cd4702571d93bde. It is recommended to upgrade the affected component. VDB-217442 is the identifier assigned to this vulnerability. NOTE: Installer is disabled by default.	A vulnerability, which was classified as problematic, has been found in shannah Xataface up to 2.x. Affected by this issue is the function testftp of the file install/install_form.js.php of the component Installer. The manipulation leads to cross site scripting. The attack may be launched remotely. Upgrading to version 3.0.0 is able to address this issue. The name of the patch is 94143a4299e386f33bf582139cd4702571d93bde. It is recommended to upgrade the affected component. VDB-217442 is the identifier assigned to this vulnerability. NOTE: Installer is disabled by default.
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			N
cvss3_nvd_ui			R
cvss3_nvd_s			C
cvss3_nvd_c			L
cvss3_nvd_i			L
cvss3_nvd_a			N
cvss2_nvd_av			N
cvss2_nvd_ac			H
cvss2_nvd_au			M
cvss2_nvd_ci			N
cvss2_nvd_ii			P
cvss2_nvd_ai			N
cvss3_cna_av			N
cvss3_cna_ac			H
cvss3_cna_pr			H
cvss3_cna_ui			R
cvss3_cna_s			U
cvss3_cna_c			N
cvss3_cna_i			L
cvss3_cna_a			N
cve_cna			VulDB
cvss2_nvd_basescore			1.7
cvss3_nvd_basescore			6.1
cvss3_cna_basescore			2.0

◂ 前概要次 ▸

Do you need the next level of professionalism?

Upgrade your account now!