| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.0 | $0-$5k | 0.00 |
要約
脆弱性が CreatiWity wityCMS 0.6.1 内に見つかりました。この脆弱性は 問題がある として分類されました。 該当するのは 不明な関数 コンポーネントWebsite Name Handlerのです。 この 入力<scri<script>pt>alert(1)</scri</script>pt>を使った操作は、 クロスサイトスクリプティングを引き起こします。
この脆弱性は CVE-2018-11512 として知られています。 攻撃はリモートから実行できます。 さらに、エクスプロイトが利用可能です。
この問題を修正するために、パッチの適用を推奨します。
詳細
脆弱性が CreatiWity wityCMS 0.6.1 内に見つかりました。この脆弱性は 問題がある として分類されました。 該当するのは 不明な関数 コンポーネントWebsite Name Handlerのです。 この 入力<scri<script>pt>alert(1)</scri</script>pt>を使った操作は、 クロスサイトスクリプティングを引き起こします。 この問題をCWEでは、CWE-80 と定義しました。 バグが発見されたのは2018年05月28日です。 この脆弱性は公開されました 2018年05月28日 によりNathu Nandwani (GitHub Repository)。 アドバイザリはgithub.comから入手可能です。 ベンダーとの調整の上で公開リリースが行われました。
この脆弱性は CVE-2018-11512 として知られています。 CVEの割り当ては 2018年05月28日 に行われました。 攻撃はリモートから実行できます。 技術的詳細情報が入手可能です。 この脆弱性の人気度は平均より低いです。 さらに、エクスプロイトが利用可能です。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトは攻撃手法をT1059.007として定義しています。
概念実証 であると宣言されています。 エクスプロイトはgithub.comでダウンロードできます。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 】のプラグインを提供しています。
バグフィックスは、github.com からダウンロードすることが可能です。 この問題を修正するために、パッチの適用を推奨します。
製品
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.1VulDB 一時的なメタスコア: 4.0
VulDB ベーススコア: 3.5
VulDB 一時的なスコア: 3.2
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 4.8
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Nathu Nandwani
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Exploit-DB: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
エクスプロイト遅延時間: 🔍
パッチ: github.com
タイムライン
2018年05月28日 🔍2018年05月28日 🔍
2018年05月28日 🔍
2018年05月28日 🔍
2018年05月28日 🔍
2018年05月28日 🔍
2018年05月28日 🔍
2025年08月09日 🔍
ソース
製品: github.com勧告: 7967e5bf15b4d2ee6b85b56e82d7e1229147de44
調査者: Nathu Nandwani
ステータス: 確認済み
調整済み: 🔍
CVE: CVE-2018-11512 (🔍)
GCVE (CVE): GCVE-0-2018-11512
GCVE (VulDB): GCVE-100-118269
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2018年05月28日 17:51更新済み: 2025年08月09日 22:26
変更: 2018年05月28日 17:51 (61), 2018年05月30日 09:10 (5), 2020年02月09日 14:47 (2), 2023年03月17日 12:28 (5), 2023年03月17日 12:34 (1), 2025年08月09日 22:26 (14)
完了: 🔍
提出者: nathunandwani
コミッター: nathunandwani
Cache ID: 216::103
提出
承諾済み
- 提出 #31: WityCMS 0.6.1 "Website's name" field Stored Cross Site Scripting (〜によって nathunandwani)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。