innologi appointments Extension 迄 2.0.5 上 TYPO3 Appointment formfield クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
要約
現在、innologi appointments Extension 迄 2.0.5 on TYPO3にて、問題があると分類される脆弱性が確認されています。 該当するのは 不明な関数 コンポーネントAppointment Handlerのです。 この 引数formfieldの操作は、 クロスサイトスクリプティングを引き起こします。 この脆弱性はCVE-2019-25094として知られています。 リモート攻撃が可能です。 対象コンポーネントのアップグレードを推奨します。
詳細
現在、innologi appointments Extension 迄 2.0.5 on TYPO3にて、問題があると分類される脆弱性が確認されています。 該当するのは 不明な関数 コンポーネントAppointment Handlerのです。 この 引数formfieldの操作は、 クロスサイトスクリプティングを引き起こします。 この問題をCWEでは、CWE-79 と定義しました。 この脆弱性は 2023年01月04日ににて 「986d3cb34e5e086c6f04e061f600ffc5837abe7f」として 紹介されました。 アドバイザリはgithub.comにて共有されています。
この脆弱性はCVE-2019-25094として知られています。 リモート攻撃が可能です。 技術的な情報が提供されています。 この脆弱性の人気度は平均より低いです。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトはT1059.007という攻撃手法を宣言しています。
このエクスプロイトツールは 未定義 として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。
この問題は、2.0.6へのアップグレードによって解決可能です。 最新版はgithub.comで入手可能です。 パッチの名前は986d3cb34e5e086c6f04e061f600ffc5837abe7fです。 修正プログラムはgithub.comでダウンロードできます。 対象コンポーネントのアップグレードを推奨します。 アドバイザリには次の注記が含まれています:
[BUGFIX] Prevent XSS on various formfield values Also, use the standalone Fluid's htmlspecialchars VH instead of TYPO3's htmlentities VH. They're essentially the same, but going with the former increases the portability of our code.
製品
タイプ
ベンダー
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.4VulDB 一時的なメタスコア: 4.3
VulDB ベーススコア: 3.5
VulDB 一時的なスコア: 3.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 6.1
NVD ベクトル: 🔍
CNA ベーススコア: 3.5
CNA ベクトル (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: appointments Extension 2.0.6
パッチ: 986d3cb34e5e086c6f04e061f600ffc5837abe7f
タイムライン
2023年01月04日 🔍2023年01月04日 🔍
2023年01月04日 🔍
2023年01月28日 🔍
ソース
勧告: 986d3cb34e5e086c6f04e061f600ffc5837abe7fステータス: 確認済み
CVE: CVE-2019-25094 (🔍)
GCVE (CVE): GCVE-0-2019-25094
GCVE (VulDB): GCVE-100-217353
エントリ
作成済み: 2023年01月04日 10:20更新済み: 2023年01月28日 07:34
変更: 2023年01月04日 10:20 (47), 2023年01月28日 07:28 (2), 2023年01月28日 07:34 (28)
完了: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。