cPanel WHM 11.36.2.9 Virtualhost Installation クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.0 | $0-$5k | 0.00 |
要約
脆弱性が cPanel WHM 11.36.2.9 内に見つかりました。この脆弱性は 重大 として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【Virtualhost Installation Handler】の未知の機能です。 操作結果として クロスサイトスクリプティングにつながります。 この脆弱性は CVE-2013-6780 として知られています。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
脆弱性が cPanel WHM 11.36.2.9 内に見つかりました。この脆弱性は 重大 として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【Virtualhost Installation Handler】の未知の機能です。 操作結果として クロスサイトスクリプティングにつながります。 CWEを用いて問題を定義すると、CWE-79 となります。 この脆弱性は公開されました 2013年12月18日 (cPanel Security Teamと共に) としてTSR 2013-0011 として勧告 (ウェブサイト)。 アドバイザリはcpanel.netで提供されています。
この脆弱性は CVE-2013-6780 として知られています。 CVEの割り当ては 2013年11月12日 に行われました。 入手できる技術的詳細情報はありません。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃技術をT1059.007としています。 勧告では次の点が指摘されています:
A reseller account with ACL permission to install SSL certificates could install certificates and matching virtualhosts on IP addresses that belonged to accounts that did not belong to the reseller. This would allow a malicious reseller account to capture web traffic intended for other accounts on the system.
未定義 であると宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 脆弱性スキャナーNessusはID【71063 (Fedora 20 : moodle-2.5.3-1.fc20 (2013-21312))】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。 Fedora Local Security Checks ファミリーに割り当てられています。 このプラグインはlの種類のコンテキストで稼働しています。 商用脆弱性スキャナーQualysではプラグイン【 12837 (Moodle Information Disclosure and Cross-Site Scripting Vulnerabilities) 】を使用してこの問題をテストできます。
バージョン 11.36.2.10 をアップグレードすることで、この問題に対処できます。 影響を受けるコンポーネントのアップグレードを推奨します。 アドバイザリーには次の備考が含まれています。
The 11.38 and 11.40 releases of cPanel were not vulnerable to this issue due to unrelated changes in the SSL certificate management logic of cPanel & WHM.
この脆弱性は他の脆弱性データベースにも文書化されています: Secunia (SA56146) , Tenable (71063).
製品
タイプ
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.2VulDB 一時的なメタスコア: 4.0
VulDB ベーススコア: 4.2
VulDB 一時的なスコア: 4.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 71063
Nessus 名前: Fedora 20 : moodle-2.5.3-1.fc20 (2013-21312)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
OpenVAS ID: 867078
OpenVAS 名前: Fedora Update for moodle FEDORA-2013-21354
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
アップグレード: cPanel WHM 11.36.2.10
タイムライン
2013年11月12日 🔍2013年11月13日 🔍
2013年11月25日 🔍
2013年12月16日 🔍
2013年12月18日 🔍
2013年12月20日 🔍
2013年12月26日 🔍
2021年06月04日 🔍
ソース
勧告: TSR 2013-0011調査者: http://cpanel.net/
組織: cPanel Security Team
ステータス: 確認済み
確認: 🔍
CVE: CVE-2013-6780 (🔍)
GCVE (CVE): GCVE-0-2013-6780
GCVE (VulDB): GCVE-100-11604
Secunia: 56146 - cPanel Multiple Vulnerabilities, Moderately Critical
OSVDB: 101360
SecurityTracker: 1029528
関連情報: 🔍
エントリ
作成済み: 2013年12月26日 18:06更新済み: 2021年06月04日 14:45
変更: 2013年12月26日 18:06 (76), 2019年03月29日 07:48 (1), 2021年06月04日 14:45 (3)
完了: 🔍
Cache ID: 216:93E:103
Once again VulDB remains the best source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。