NukeViet CMS 前の4.5 Data URL Request.php filterAttr attrSubSet クロスサイトスクリプティング

NukeViet CMS内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Data URL Handler】のファイル【vendor/vinades/nukeviet/Core/Request.php】に含まれる関数【filterAttr】です。 【attrSubSet】引数を未知の値で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります。 この問題をCWEでは、CWE-79 と定義しました。 この脆弱性は 2022年11月13日ににて 「0b3197fad950bb3383e83039a8ee4c9509b3ce02」として 紹介されました。 アドバイザリーは github.com から入手可能です。 この脆弱性は CVE-2022-3975 として知られています。 攻撃はリモートで開始される場合があります。 技術的詳細情報が入手可能です。 入手できるエクスプロイトツールはありません。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 この脆弱性は、MITRE ATT&CKプロジェクトによって T1059.007 に割り当てられました。 このエクスプロイトツールは 未定義 として宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 】のプラグインを提供しています。 バージョン 4.5 をアップグレードすることで、この問題に対処できます。 アップグレードされたバージョンは、github.com からダウンロードする準備ができています。 パッチ名は 0b3197fad950bb3383e83039a8ee4c9509b3ce02 です。 バグフィックスは、github.com からダウンロードすることが可能です。 影響を受けているコンポーネントのアップグレードを推奨します。

タイムライン

ユーザー

129

フィールド

exploit_price_0day2
software_vendor2
source_cve_nvd_summary1
source_cve_assigned1
vulnerability_cvss3_meta_tempscore1

Commit Conf

90%36
50%11
70%2
100%1

Approve Conf

90%36
80%11
70%2
100%1
IDコミット済みユーザーフィールド変更備考承諾済み理由C
133966022022年12月17日VulD...price_0day$0-$5ksee exploit price documentation2022年12月17日承諾済み
90
133966012022年12月17日VulD...cve_nvd_summaryA vulnerability, which was classified as problematic, has been found in NukeViet CMS. Affected by this issue is the function filterAttr of the file vendor/vinades/nukeviet/Core/Request.php of the component Data URL Handler. The manipulation of the argument attrSubSet leads to cross site scripting. The attack may be launched remotely. Upgrading to version 4.5 is able to address this issue. The name of the patch is 0b3197fad950bb3383e83039a8ee4c9509b3ce02. It is recommended to upgrade the affected component. VDB-213554 is the identifier assigned to this vulnerability.cve.mitre.org2022年12月17日承諾済み
70
133966002022年12月17日VulD...cve_assigned1668294000 (2022年11月13日)cve.mitre.org2022年12月17日承諾済み
70
132613612022年11月13日VulD...vendorNukeViet2022年11月13日承諾済み
100
132613602022年11月13日VulD...price_0day$0-$5ksee exploit price documentation2022年11月13日承諾済み
90
132613592022年11月13日VulD...cvss3_meta_tempscore3.4see CVSS documentation2022年11月13日承諾済み
90
132613582022年11月13日VulD...cvss3_meta_basescore3.5see CVSS documentation2022年11月13日承諾済み
90
132613572022年11月13日VulD...cvss3_vuldb_tempscore3.4see CVSS documentation2022年11月13日承諾済み
90
132613562022年11月13日VulD...cvss3_vuldb_basescore3.5see CVSS documentation2022年11月13日承諾済み
90
132613552022年11月13日VulD...cvss2_vuldb_tempscore3.5see CVSS documentation2022年11月13日承諾済み
90
132613542022年11月13日VulD...cvss2_vuldb_basescore4.0see CVSS documentation2022年11月13日承諾済み
90
132613532022年11月13日VulD...cvss3_vuldb_eXderived from historical data2022年11月13日承諾済み
80
132613522022年11月13日VulD...cvss3_vuldb_prLderived from historical data2022年11月13日承諾済み
80
132613512022年11月13日VulD...cvss2_vuldb_eNDderived from historical data2022年11月13日承諾済み
80
132613502022年11月13日VulD...cvss2_vuldb_auSderived from historical data2022年11月13日承諾済み
80
132613492022年11月13日VulD...cvss2_vuldb_rlOFderived from vuldb v3 vector2022年11月13日承諾済み
80
132613482022年11月13日VulD...cvss2_vuldb_rcCderived from vuldb v3 vector2022年11月13日承諾済み
80
132613472022年11月13日VulD...cvss2_vuldb_aiNderived from vuldb v3 vector2022年11月13日承諾済み
80
132613462022年11月13日VulD...cvss2_vuldb_iiPderived from vuldb v3 vector2022年11月13日承諾済み
80
132613452022年11月13日VulD...cvss2_vuldb_ciNderived from vuldb v3 vector2022年11月13日承諾済み
80

30 非表示のエントリあり

🔒 Login Required

You need to signup and login to see more of the remaining 30 results.

概要

Do you want to use VulDB in your project?

Use the official API to access entries easily!