Easy Table Plugin 1.6 日付: WordPress options-general.php クロスサイトスクリプティング

問題がある として分類されている脆弱性が Easy Table Plugin 1.6 内に見つかりました。 影響を受けるのは、ファイル【/wordpress/wp-admin/options-general.php】に含まれる未知の関数です。 入力"><script>alert(1)</script>で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-80 です。 この脆弱性は 2017年02月11日に Manuel Garcia Cardenasより「Full-Disclosure」の Mailinglist Postにて 「WordPress Plugin Easy Table 1.6 - Persistent Cross-Site Scripting」として 紹介されました。 アドバイザリーは seclists.org にてダウンロード用に公開されています。 この脆弱性は CVE-2017-20108 として扱われます。 攻撃はリモートで開始される可能性があります。 技術的詳細情報が入手可能です。 入手できるエクスプロイトツールはありません。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1059.007 と定義しています。 このエクスプロイトツールは 未定義 として宣言されています。 脆弱性は、少なくとも 4 日の間、非公開の0day攻撃ツールとして扱われました。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。 考えられる回避策が、前として脆弱性の公開後公表されました 。

フィールド2017年02月20日 08:042020年08月16日 16:062022年06月25日 18:25
nameEasy Table PluginEasy Table PluginEasy Table Plugin
version1.61.61.6
platformWordPressWordPressWordPress
file/wordpress/wp-admin/options-general.php/wordpress/wp-admin/options-general.php/wordpress/wp-admin/options-general.php
input_value"><script>alert(1)</script>"><script>alert(1)</script>"><script>alert(1)</script>
vendorinformdate148642560014864256001486425600
risk111
cvss2_vuldb_basescore3.53.53.5
cvss2_vuldb_tempscore3.33.33.3
cvss2_vuldb_avNNN
cvss2_vuldb_acMMM
cvss2_vuldb_ciNNN
cvss2_vuldb_iiPPP
cvss2_vuldb_aiNNN
cvss3_meta_basescore3.53.53.5
cvss3_meta_tempscore3.43.43.4
cvss3_vuldb_basescore3.53.53.5
cvss3_vuldb_tempscore3.43.43.4
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cNNN
cvss3_vuldb_iLLL
cvss3_vuldb_aNNN
date1486771200 (2017年02月11日)1486771200 (2017年02月11日)1486771200 (2017年02月11日)
locationFull-DisclosureFull-DisclosureFull-Disclosure
typeMailinglist PostMailinglist PostMailinglist Post
urlhttp://seclists.org/fulldisclosure/2017/Feb/24http://seclists.org/fulldisclosure/2017/Feb/24http://seclists.org/fulldisclosure/2017/Feb/24
identifierWordPress Plugin Easy Table 1.6 - Persistent Cross-Site ScriptingWordPress Plugin Easy Table 1.6 - Persistent Cross-Site ScriptingWordPress Plugin Easy Table 1.6 - Persistent Cross-Site Scripting
person_nameManuel Garcia CardenasManuel Garcia CardenasManuel Garcia Cardenas
price_0day$0-$5k$0-$5k$0-$5k
cvss2_vuldb_eNDNDND
cvss2_vuldb_rlUUU
cvss2_vuldb_rcURURUR
cvss3_vuldb_eXXX
cvss3_vuldb_rlUUU
cvss3_vuldb_rcRRR
0day_days444
cvss2_vuldb_auSSS
cvss3_vuldb_prLLL
typeWordPress PluginWordPress Plugin
cwe080 (クロスサイトスクリプティング)80 (クロスサイトスクリプティング)
cveCVE-2017-20108
responsibleVulDB

Do you need the next level of professionalism?

Upgrade your account now!