TYPO3 1.1.0/2.0.0 Flow ActionController errorAction クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
要約
現在、TYPO3 1.1.0/2.0.0にて、問題があると分類される脆弱性が確認されています。 この問題により影響を受けるのは、コンポーネント【Flow】の関数【ActionController】です。 この 引数errorActionの Error Messageの一部としての操作は、 クロスサイトスクリプティングを引き起こします。 攻撃はリモートで開始される可能性が高いです。 エクスプロイトは存在しません。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
現在、TYPO3 1.1.0/2.0.0にて、問題があると分類される脆弱性が確認されています。 この問題により影響を受けるのは、コンポーネント【Flow】の関数【ActionController】です。 この 引数errorActionの Error Messageの一部としての操作は、 クロスサイトスクリプティングを引き起こします。 問題をCWEで宣言すると、CWE-80 になります。 この脆弱性は 2013年12月10日に「ウェブサイト」の 勧告にて 「TYPO3-FLOW-SA-2013-001」として 紹介されました。 アドバイザリーは typo3.org で共有されています。 この開示には以下の情報が含まれています:
The same problem applies to the Extbase Framework in TYPO3. Read the according advisory TYPO3-CORE-SA-2013-004 for more information.
攻撃はリモートで開始される可能性が高いです。 技術的な情報が提供されています。 この脆弱性の一般的な利用度は平均を下回っています。 エクスプロイトは存在しません。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトは、攻撃手法を T1059.007 と定義しています。
このエクスプロイトツールは 高度に機能的 として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。
この問題は、1.1.1 , 2.0.1へのアップグレードによって解決可能です。 影響を受けたコンポーネントのアップグレードを推奨します。 脆弱性の開示から すぐに 後に、可能な緩和策が公表されました。 アドバイザリには次の注記が含まれています:
If you have customized the error action in your Flow application, we advice you to check that the error messages returned in these actions only contain static strings and are not derived from any kind of user input. If you are not sure whether your code is fine in that regard, feel free to ask on a public mailing list or the forum.
製品
タイプ
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.3VulDB 一時的なメタスコア: 6.0
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 高度に機能的
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: TYPO3 1.1.1/2.0.1
タイムライン
2013年12月10日 🔍2013年12月10日 🔍
2013年12月12日 🔍
2018年05月15日 🔍
ソース
製品: typo3.org勧告: TYPO3-FLOW-SA-2013-001
ステータス: 確認済み
GCVE (VulDB): GCVE-100-11473
OSVDB: 100825
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2013年12月12日 15:38更新済み: 2018年05月15日 17:20
変更: 2013年12月12日 15:38 (48), 2018年05月15日 17:20 (2)
完了: 🔍
Cache ID: 216:637:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。