| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
脆弱性が Apple Mac OS X Server 内に見つかりました。この脆弱性は 重大 として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【Profile Manager】の未知の機能です。 未知の値で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-79 です。 この脆弱性は 2013年10月22日に「Apple Security Mailinglist」の Mailinglist Postにて 「APPLE-SA-2013-10-22-5」として 紹介されました。 アドバイザリーは lists.apple.com で共有されています。 公開情報には次の様な記述が含まれています。
Multiple issues existed in Ruby on Rails, the most serious of which may lead to cross site scripting. These issues were addressed by updating the Rails implementation used by Profile Manager to version 2.3.18.
この脆弱性は CVE-2013-1855 として扱われます。 CVEの割り当ては 2013年02月19日 に行われました。 攻撃はリモートで開始される可能性が高いです。 入手できる技術的詳細情報はありません。 入手できるエクスプロイトツールはありません。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1059.007 を使用しました。
このエクスプロイトツールは 未定義 として宣言されています。 0dayにはおよそ $5k-$25k の価値があったと予想しています。 脆弱性スキャナーNessusはID【74972 (openSUSE Security Update : rubygem-actionpack-3_2 (openSUSE-SU-2013:0661-1))】のプラグインを提供しています。不具合の有無をターゲット環境にて判定できます。 これは【SuSE Local Security Checks 】に分類されています。 利用されるポートは 0になります。 商用脆弱性スキャナーQualysではプラグイン【 166714 (OpenSuSE Security Update for rubygem-actionpack-2_3 (openSUSE-SU-2014:0019-1)) 】を使用してこの問題をテストできます。
バージョン 3.0 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、すぐにとして脆弱性の公開後公表されました 。
脆弱性は「SecurityFocus (BID 58552), X-Force (82920), Vulnerability Center (SBV-39036) , Tenable (74972)」等の脆弱性データベースにも文書化されています。
製品
タイプ
ベンダー
名前
バージョン
ライセンス
サポート
- end of life (old version)
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.3VulDB 一時的なメタスコア: 6.0
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 方向性 | 複雑度 | 認証 | 守秘義務性 | 誠実性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用する
クラス: クロスサイトスクリプティングCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 74972
Nessus 名前: openSUSE Security Update : rubygem-actionpack-3_2 (openSUSE-SU-2013:0661-1)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 892655
OpenVAS 名前: Debian Security Advisory DSA 2655-1 (rails - several vulnerabilities
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブ アクター: 🔍
アクティブな APT グループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
暴露日時: 🔍
アップグレード: Mac OS X Server 3.0
タイムライン
2013年02月19日 🔍2013年03月18日 🔍
2013年03月19日 🔍
2013年04月08日 🔍
2013年10月22日 🔍
2013年10月22日 🔍
2013年10月23日 🔍
2014年06月13日 🔍
2021年06月01日 🔍
ソース
ベンダー: apple.comアドバイザリー: APPLE-SA-2013-10-22-5
ステータス: 確認済み
確認: 🔍
CVE: CVE-2013-1855 (🔍)
OVAL: 🔍
X-Force: 82920
Vulnerability Center: 39036 - Ruby on Rails 2.x and 3.x Santize_CSS Method XSS Vulnerability via a Crafted CSS Token Sequences, Medium
SecurityFocus: 58552
scip Labs: https://www.scip.ch/en/?labs.20150108
関連情報: : 🔍
エントリ
作成済み: 2013年10月23日 17:41更新済み: 2021年06月01日 08:42
変更: 2013年10月23日 17:41 (46), 2017年04月26日 23:46 (30), 2021年06月01日 08:42 (3)
完了: 🔍
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。