eXo Chat Application 以前は 3.3.0-20220417 Mention ExoChatMessageComposer.vue クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
要約
このたび、eXo Chat Applicationにおいて、問題があるに分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、コンポーネント【Mention Handler】のファイル【application/src/main/webapp/vue-app/components/ExoChatMessageComposer.vue】に含まれる未知の機能です。 操作結果として クロスサイトスクリプティングにつながります。 この脆弱性はCVE-2022-4902という名称で流通しています。 攻撃はリモートで開始される可能性があります。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
このたび、eXo Chat Applicationにおいて、問題があるに分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、コンポーネント【Mention Handler】のファイル【application/src/main/webapp/vue-app/components/ExoChatMessageComposer.vue】に含まれる未知の機能です。 操作結果として クロスサイトスクリプティングにつながります。 CWEを用いて問題を定義すると、CWE-79 となります。 この弱点は 2023年02月05日に発表されました 、485として。 アドバイザリーは github.com にてダウンロード用に公開されています。
この脆弱性はCVE-2022-4902という名称で流通しています。 攻撃はリモートで開始される可能性があります。 テクニカルな情報があります。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1059.007 を使用しました。
未定義 に指定されています。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。
バージョン 3.3.0-20220417 をアップグレードすることで、この問題に対処できます。 更新版はgithub.comからダウンロードできます。 このパッチの名称は26bf307d3658d1403cfd5c3ad423ce4c4d1cb2dcです。 修正パッチはgithub.comからダウンロード可能です。 影響を受けるコンポーネントのアップグレードを推奨します。 アドバイザリには次のような記載があります:
Before this fix, when sending a message with a mention, there is an XSS issue This commit encode html entities in the message before adding markup related to the mention so that, the malicious html is not evaluated
製品
タイプ
ベンダー
名前
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.4VulDB 一時的なメタスコア: 4.3
VulDB ベーススコア: 3.5
VulDB 一時的なスコア: 3.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 6.1
NVD ベクトル: 🔍
CNA ベーススコア: 3.5
CNA ベクトル (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: Chat Application 3.3.0-20220417
パッチ: 26bf307d3658d1403cfd5c3ad423ce4c4d1cb2dc
タイムライン
2022年04月17日 🔍2023年02月05日 🔍
2023年02月05日 🔍
2023年02月05日 🔍
2023年03月05日 🔍
ソース
勧告: 485ステータス: 確認済み
確認: 🔍
CVE: CVE-2022-4902 (🔍)
GCVE (CVE): GCVE-0-2022-4902
GCVE (VulDB): GCVE-100-220212
エントリ
作成済み: 2023年02月05日 16:17更新済み: 2023年03月05日 09:22
変更: 2023年02月05日 16:17 (47), 2023年03月05日 09:17 (2), 2023年03月05日 09:22 (28)
完了: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。