Umbraco CMS 迄 10.7.7/12.3.6/13.5.2/14.3.1/15.1.1 Dashboard frame?id{} culture クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.5 | $0-$5k | 0.36 |
要約
Umbraco CMS 迄 10.7.7/12.3.6/13.5.2/14.3.1/15.1.1内に 問題がある として分類された脆弱性が発見されました。 この脆弱性により影響を受けるのは、コンポーネント【Dashboard】のファイル【/Umbraco/preview/frame?id{}】に含まれる未知の機能です。 引数 cultureの操作が、 クロスサイトスクリプティングをもたらします。 この脆弱性は CVE-2024-10761 として扱われます。 攻撃はリモートから実行できます。 悪用手段は存在しません。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
Umbraco CMS 迄 10.7.7/12.3.6/13.5.2/14.3.1/15.1.1内に 問題がある として分類された脆弱性が発見されました。 この脆弱性により影響を受けるのは、コンポーネント【Dashboard】のファイル【/Umbraco/preview/frame?id{}】に含まれる未知の機能です。 引数 cultureの操作が、 クロスサイトスクリプティングをもたらします。 CWEを用いて問題を定義すると、CWE-79 となります。 この弱点は発表されました。 アドバイザリはdrive.google.comから入手可能です。
この脆弱性は CVE-2024-10761 として扱われます。 攻撃はリモートから実行できます。 技術的な詳細が利用可能です。 この脆弱性の人気度は平均より低いです。 悪用手段は存在しません。 エクスプロイトが公に開示されており、悪用される可能性があります。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃手法をT1059.007として定義しています。
概念実証 として宣言されています。 エクスプロイトはdrive.google.comでダウンロードできます。 】のプラグインを提供しています。
バージョン10.8.8, 13.5.3, 14.3.2 , 15.1.2にアップグレードすることで、この問題に対処できます。 影響を受けるコンポーネントのアップグレードを推奨します。
製品
タイプ
ベンダー
名前
バージョン
- 10.7.0
- 10.7.1
- 10.7.2
- 10.7.3
- 10.7.4
- 10.7.5
- 10.7.6
- 10.7.7
- 12.3.0
- 12.3.1
- 12.3.2
- 12.3.3
- 12.3.4
- 12.3.5
- 12.3.6
- 13.5.0
- 13.5.1
- 13.5.2
- 14.3.0
- 14.3.1
- 15.1.0
- 15.1.1
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA ベクトル: 🔍
CVSSv3
VulDB ベースメタスコア: 4.7VulDB 一時的なメタスコア: 4.5
VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 3.9
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 5.4
NVD ベクトル: 🔍
CNA ベーススコア: 4.3
CNA ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: CMS 10.8.8/13.5.3/14.3.2/15.1.2
タイムライン
2024年11月03日 🔍2024年11月03日 🔍
2025年03月01日 🔍
ソース
勧告: drive.google.comステータス: 確認済み
確認: 🔍
CVE: CVE-2024-10761 (🔍)
GCVE (CVE): GCVE-0-2024-10761
GCVE (VulDB): GCVE-100-282930
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2024年11月03日 08:44更新済み: 2025年03月01日 19:08
変更: 2024年11月03日 08:44 (55), 2024年11月04日 07:40 (30), 2024年11月13日 11:11 (3), 2024年11月13日 11:14 (2), 2024年11月13日 14:07 (12), 2025年01月22日 08:51 (25), 2025年01月22日 08:52 (1), 2025年01月22日 09:45 (2), 2025年02月14日 12:57 (1), 2025年03月01日 19:08 (1)
完了: 🔍
提出者: kushkira
Cache ID: 216:267:103
提出
承諾済み
- 提出 #427091: Umbraco Umbraco CMS Version 12.3.6 Cross Site Scripting (〜によって kushkira)
If you want to get best quality of vulnerability data, you may have to visit VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。