Francisco Burzi PHP-Nuke 迄 7.3 savecomment uname クロスサイトスクリプティング

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
3.9	$0-$5k	0.00

要約情報

現在、Francisco Burzi PHP-Nuke 迄 7.3にて、問題があると分類される脆弱性が確認されています。 該当するのは 関数savecommentです。 この 引数unameの操作は、 クロスサイトスクリプティングを引き起こします。 この脆弱性はCVE-2004-2293として知られています。 リモートで攻撃を実行することが可能です。 さらに、エクスプロイトが利用可能です。

詳細情報

現在、Francisco Burzi PHP-Nuke 迄 7.3にて、問題があると分類される脆弱性が確認されています。 該当するのは 関数savecommentです。 この 引数unameの操作は、 クロスサイトスクリプティングを引き起こします。 この問題をCWEでは、CWE-80 と定義しました。 この脆弱性は 2004年06月11日に waraxeの Janek Vindより「ウェブサイト」のにて 紹介されました。 アドバイザリはsecurityfocus.comでダウンロードできます。

この脆弱性はCVE-2004-2293として知られています。 CVEの割当は2005年08月04日で行われました。 リモートで攻撃を実行することが可能です。 技術的な情報が提供されています。 この脆弱性の人気度は平均より低いです。 さらに、エクスプロイトが利用可能です。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1059.007です。

このエクスプロイトツールは 概念実証 として宣言されています。 エクスプロイトツールは exploit-db.com にダウンロードのために共有されています。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。

脆弱性は「SecurityFocus (BID 10524), X-Force (16406) , Secunia (SA11852)」等の脆弱性データベースにも文書化されています。

製品情報

タイプ

• Content Management System

ベンダー

• Francisco Burzi

名前

• PHP-Nuke

バージョン

• 6.0
• 6.5
• 6.5 Beta1
• 6.5 Final
• 6.5 Rc1
• 6.5 Rc2
• 6.5 Rc3
• 6.6
• 6.7
• 6.9
• 7.0
• 7.0 Final
• 7.1
• 7.2
• 7.3

ライセンス

• オープンソース

ウェブサイト

• ベンダー: https://bitbucket.org/phpnuke/phpnuke

CPE 2.3情報

• 🔍
• 🔍
• 🔍

CPE 2.2情報

• 🔍
• 🔍
• 🔍

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 4.3
VulDB 一時的なメタスコア: 3.9

VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 3.9
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv2情報

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

ベクトル	複雑さ	認証	機密性	完全性	可用性
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

クラス: クロスサイトスクリプティング
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day	解除	解除	解除	解除
本日	解除	解除	解除	解除

Exploit-DB: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: 既知の緩和策なし
ステータス: 🔍

0day日時: 🔍

タイムライン情報

2004年06月11日 🔍
2004年06月11日 +0 日 🔍
2004年06月11日 +0 日 🔍
2004年06月14日 +2 日 🔍
2004年06月14日 +0 日 🔍
2004年12月31日 +199 日 🔍
2005年08月04日 +216 日 🔍
2015年03月09日 +3504 日 🔍
2025年05月11日 +3716 日 🔍

ソース情報

ベンダー: bitbucket.org

勧告: securityfocus.com⛔
調査者: Janek Vind
組織: waraxe
ステータス: 未定義

CVE: CVE-2004-2293 (🔍)
GCVE (CVE): GCVE-0-2004-2293
GCVE (VulDB): GCVE-100-23193
X-Force: 16406
SecurityFocus: 10524 - PHP-Nuke Multiple Input Validation Vulnerabilities
Secunia: 11852 - PHP-Nuke Multiple Vulnerabilities, Less Critical
OSVDB: 6997 - PHP-Nuke FAQ Module categories Parameter XSS

scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍

エントリ情報

作成済み: 2015年03月09日 16:19
更新済み: 2025年05月11日 12:29
変更: 2015年03月09日 16:19 (58), 2018年06月25日 09:16 (7), 2025年05月11日 12:29 (23)
完了: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

討論

Do you want to use VulDB in your project?

Use the official API to access entries easily!