| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.2 | $0-$5k | 0.00 |
要約
このたび、Ipswitch IMail 迄 12.4.1.14において、問題があるに分類される脆弱性が見つかりました。 この問題により影響を受けるのは、コンポーネント【Group Details Handler】の未知の機能です。 入力GS!<IFRAME SRC="javascript:alert('XSS');"></IFRAME>で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります}。 この脆弱性はCVE-2014-3878という名称で流通しています。 攻撃はリモートで開始される可能性が高いです。 さらに、攻撃手法が利用可能です。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
このたび、Ipswitch IMail 迄 12.4.1.14において、問題があるに分類される脆弱性が見つかりました。 この問題により影響を受けるのは、コンポーネント【Group Details Handler】の未知の機能です。 入力GS!<IFRAME SRC="javascript:alert('XSS');"></IFRAME>で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります}。 問題をCWEで宣言すると、CWE-79 になります。 この弱点は 2014年06月03日に発表されました 、Peruによって 、IPSwitch IMail Server WEB client 12.4 persistent XSSとして 、Mailinglist Postとして (Full-Disclosure)。 アドバイザリーは seclists.org で共有されています。 一般公開はベンダーと調整されました。
この脆弱性はCVE-2014-3878という名称で流通しています。 CVEが2014年05月27日に割り当てられました。 攻撃はリモートで開始される可能性が高いです。 テクニカルな情報があります。 この脆弱性の一般的な利用度は平均を下回っています。 さらに、攻撃手法が利用可能です。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトは、攻撃手法を T1059.007 と定義しています。
概念実証 に指定されています。 エクスプロイトツールは seclists.org からダウンロードできます。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。 勧告では次のように指摘されています:
A persistent XSS can be reached adding a new event in the Calendar; this event can be spread adding the Meeting Request option. Since, using this injection point, the XSS can be spread to other users, this is the most dangerous of the four and can be used to spoofing sessions and therefore compromising the attacked users account.脆弱性スキャナーNessusは、IDが76490のプラグインを提供します。 この項目は その他 ファミリーに割り当てられています。 プラグインはタイプ【 r 】のコンテキストで実行されています。
12.4.1.15にアップグレードすることで、本問題を解消できます。 更新版はimailserver.comからダウンロードできます。 影響を受けたコンポーネントのアップグレードを推奨します。 脆弱性の公開後、前 経過してから対策が公開されました。
他の脆弱性データベースにも記載されている脆弱性です: SecurityFocus (BID 67830), SecurityTracker (ID 1030335) , Tenable (76490).
製品
タイプ
ベンダー
名前
バージョン
- 12.4.1.0
- 12.4.1.1
- 12.4.1.2
- 12.4.1.3
- 12.4.1.4
- 12.4.1.5
- 12.4.1.6
- 12.4.1.7
- 12.4.1.8
- 12.4.1.9
- 12.4.1.10
- 12.4.1.11
- 12.4.1.12
- 12.4.1.13
- 12.4.1.14
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 3.5VulDB 一時的なメタスコア: 3.2
VulDB ベーススコア: 3.5
VulDB 一時的なスコア: 3.2
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Peru (Peru)
プログラミング言語: 🔍
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 76490
Nessus 名前: Ipswitch IMail Server 11.x / 12.x < 12.4.1.15 Multiple Vulnerabilities (Heartbleed)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
Exploit-DB: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
アップグレード: IMail 12.4.1.15
タイムライン
2014年04月29日 🔍2014年05月27日 🔍
2014年06月03日 🔍
2014年06月03日 🔍
2014年06月03日 🔍
2014年06月04日 🔍
2014年06月05日 🔍
2014年06月05日 🔍
2014年06月05日 🔍
2014年07月14日 🔍
2025年08月16日 🔍
ソース
ベンダー: ipswitch.com勧告: IPSwitch IMail Server WEB client 12.4 persistent XSS
調査者: Peru
ステータス: 確認済み
調整済み: 🔍
CVE: CVE-2014-3878 (🔍)
GCVE (CVE): GCVE-0-2014-3878
GCVE (VulDB): GCVE-100-13447
SecurityFocus: 67830 - IPSwitch IMail Server WEB client Multiple HTML Injection Vulnerabilities
OSVDB: 107700
SecurityTracker: 1030335
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2014年06月05日 14:24更新済み: 2025年08月16日 20:25
変更: 2014年06月05日 14:24 (82), 2019年04月02日 20:12 (1), 2021年06月20日 15:34 (3), 2025年08月16日 20:25 (16)
完了: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。