MobileIron 4.5.4 Device Registration /mifs/c/i/reg/reg.html regpin クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
要約
このたび、MobileIron 4.5.4において、問題があるに分類される脆弱性が見つかりました。 影響を受けるのは、コンポーネント【Device Registration】のファイル【/mifs/c/i/reg/reg.html】に含まれる未知の関数です。 【regpin】引数を入力12345"][script]alert('xss')[/script]で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります}。 攻撃はリモートから実行できます。 さらに、悪用手段が存在します。 影響を受けているコンポーネントのアップグレードを推奨します。
詳細
このたび、MobileIron 4.5.4において、問題があるに分類される脆弱性が見つかりました。 影響を受けるのは、コンポーネント【Device Registration】のファイル【/mifs/c/i/reg/reg.html】に含まれる未知の関数です。 【regpin】引数を入力12345"][script]alert('xss')[/script]で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-80 につながります。 このバグは 2013年09月28日に発見されました。 この弱点は 2013年10月28日に発表されました 、Pascal Schaufelbergerによって 、scip AGと共に 、sID 10847として 、Mailinglist Postとして (Full-Disclosure) 、scip VulDB経由で。 アドバイザリはscip.chから入手可能です。 ベンダーとの調整の上で公開リリースが行われました。
攻撃はリモートから実行できます。 テクニカルな情報があります。 この脆弱性の普及度は平均未満です。 さらに、悪用手段が存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃手法をT1059.007として定義しています。 アドバイザリーは次を指摘しています。
This is a traditional reflected cross site scripting vulnerability, which allows the injection of arbitrary script code. An attacker might be able to alter the behavior of the web site and might therefore attack visitors.
概念実証 に指定されています。 エクスプロイトはvuldb.comでダウンロードできます。 脆弱性は、少なくとも 20 日の間、非公開の0day攻撃ツールとして扱われました。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。
5.1.0にアップグレードすることで、本問題を解消できます。 影響を受けているコンポーネントのアップグレードを推奨します。 アドバイザリには次のような記載があります:
Cross site scripting pattern in the regpin field should be detected and eliminated. Most security solutions provide this function out of the box. (…) This issue got fixed in release 5.1.0 without further notification. Current release is 5.8, which has been available since October 2013. (…) After exchange of technical details the vendor informed that this issue was known already and has been patched without further notice.
製品
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.3VulDB 一時的なメタスコア: 5.7
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 5.7
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Pascal Schaufelberger
プログラミング言語: 🔍
ダウンロード: 🔍
Google Hack: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
アップグレード: MobileIron 5.1.0
Firewalling: 🔍
タイムライン
2013年09月28日 🔍2013年10月16日 🔍
2013年10月18日 🔍
2013年10月18日 🔍
2013年10月28日 🔍
2013年10月28日 🔍
2018年10月08日 🔍
ソース
勧告: sID 10847調査者: Pascal Schaufelberger
組織: scip AG
ステータス: 確認済み
調整済み: 🔍
GCVE (VulDB): GCVE-100-10847
OSVDB: 99041
scip Labs: https://www.scip.ch/en/?labs.20161013
その他: 🔍
エントリ
作成済み: 2013年10月18日 11:27更新済み: 2018年10月08日 15:43
変更: 2013年10月18日 11:27 (71), 2018年10月08日 15:43 (1)
完了: 🔍
Cache ID: 216:D18:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。