TYPO3 CMS まで4.1.13/4.2.12/4.3.3/4.4.0 Extension Manager Parameter クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
TYPO3 CMS まで4.1.13/4.2.12/4.3.3/4.4.0内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Extension Manager】の未知の機能です。 未知の値でParameterの一部として攻撃することが、 クロスサイトスクリプティングを突く攻撃に繋がります。 この問題をCWEでは、CWE-79 と定義しました。 このバグは 2010年07月28日に発見されました。 この脆弱性は 2017年10月23日に Bastiより「oss-sec」のにて 紹介されました。 アドバイザリーは openwall.com から入手可能です。
この脆弱性は CVE-2010-3659 として知られています。 CVEの割り当ては 2010年09月28日 に行われました。 攻撃はリモートで開始される場合があります。 入手できる技術的詳細情報はありません。 入手できるエクスプロイトツールはありません。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 この脆弱性は、MITRE ATT&CKプロジェクトによって T1059.007 に割り当てられました。
このエクスプロイトツールは 未定義 として宣言されています。 脆弱性は、少なくとも 2641 日の間、非公開の0day攻撃ツールとして扱われました。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 】のプラグインを提供しています。
バージョン 4.1.14, 4.2.13, 4.3.4 , 4.4.1 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。
脆弱性は「SecurityFocus (BID 42029)」等の脆弱性データベースにも文書化されています。
製品
タイプ
ベンダー
名前
バージョン
- 4.0
- 4.1
- 4.1.0
- 4.1.1
- 4.1.2
- 4.1.3
- 4.1.4
- 4.1.5
- 4.1.6
- 4.1.7
- 4.1.8
- 4.1.9
- 4.1.10
- 4.1.11
- 4.1.12
- 4.1.13
- 4.2
- 4.2.0
- 4.2.1
- 4.2.2
- 4.2.3
- 4.2.4
- 4.2.5
- 4.2.6
- 4.2.7
- 4.2.8
- 4.2.9
- 4.2.10
- 4.2.11
- 4.2.12
- 4.3
- 4.3.0
- 4.3.1
- 4.3.2
- 4.3.3
- 4.4
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.4VulDB 一時的なメタスコア: 4.4
VulDB ベーススコア: 3.5
VulDB 一時的なスコア: 3.4
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 5.4
NVD 方向性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 方向性 | 複雑度 | 認証 | 守秘義務性 | 誠実性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用する
クラス: クロスサイトスクリプティングCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
OpenVAS ID: 11234
OpenVAS 名前: TYPO3 Multiple XSS Vulnerabilities
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
脅威インテリジェンス
関心: 🔍アクティブ アクター: 🔍
アクティブな APT グループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: CMS 4.1.14/4.2.13/4.3.4/4.4.1
タイムライン
2010年07月28日 🔍2010年07月28日 🔍
2010年09月28日 🔍
2017年10月20日 🔍
2017年10月23日 🔍
2017年10月23日 🔍
2021年01月19日 🔍
ソース
アドバイザリー: openwall.com調査者: Jelmer de Hen, Nikolas Hagelstein, Daniel Sloof, Tobias Liebig, Georg Ringer, Dmitry Dulepov, Helmut Hummel, Maxime Verroye, Marc Bastian Heinrichs, Steffen Kamper, Ernesto Baschny, Tim Lochm, amp, amp, amp, uuml, ller, Sascha Kettler, Lars Houmark, Franz G. (Basti)
ステータス: 未定義
確認: 🔍
CVE: CVE-2010-3659 (🔍)
SecurityFocus: 42029 - TYPO3 Core TYPO3-SA-2010-012 Multiple Remote Security Vulnerabilities
エントリ
作成済み: 2017年10月23日 09:03更新済み: 2021年01月19日 12:57
変更: 2017年10月23日 09:03 (67), 2019年11月28日 14:22 (4), 2021年01月19日 12:57 (2)
完了: 🔍
Cache ID: 18:568:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。