Barracuda CudaTel Communication Server 2.0.029.1 Automated Attendant Services Eingabe クロスサイトスクリプティング
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.2 | $0-$5k | 0.00 |
要約
現在、Barracuda CudaTel Communication Server 2.0.029.1にて、重大と分類される脆弱性が確認されています。 影響を受けるのは 不明な関数 コンポーネントAutomated Attendant Servicesのです。 引数 Eingabeの一部としての操作が、 クロスサイトスクリプティングをもたらします。 攻撃はリモートで開始される可能性があります。 攻撃手法は利用できません。 この問題の修正にはパッチの適用が推奨されます。
詳細
現在、Barracuda CudaTel Communication Server 2.0.029.1にて、重大と分類される脆弱性が確認されています。 影響を受けるのは 不明な関数 コンポーネントAutomated Attendant Servicesのです。 引数 Eingabeの一部としての操作が、 クロスサイトスクリプティングをもたらします。 CWEによる問題の宣言は、CWE-80 につながります。 この脆弱性は 2012年03月08日に Vulnerability Research Laboratoryの Benjamin Kunz Mejri (Rem0ve)より「Full-Disclosure」の Mailinglist Postにて 紹介されました。 アドバイザリーは seclists.org にてダウンロード用に公開されています。 一般向けリリースはベンダーとの調整なしに行われました。
攻撃はリモートで開始される可能性があります。 技術的な情報は提供されていません。 攻撃手法は利用できません。 エクスプロイトが公に開示されており、悪用される可能性があります。 現在の時点で、エクスプロイトの価格はおおよそUSD $0-$5kかもしれません。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1059.007 を使用しました。
このエクスプロイトツールは 概念実証 として宣言されています。 seclists.orgでエクスプロイトが共有されています。 脆弱性は少なくとも17日間、非公開のゼロデイエクスプロイトとして扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。
この問題の修正にはパッチの適用が推奨されます。 脆弱性の開示から 前 後に、可能な緩和策が公表されました。
脆弱性は「SecurityFocus (BID 52358)」等の脆弱性データベースにも文書化されています。
製品
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.6VulDB 一時的なメタスコア: 4.2
VulDB ベーススコア: 4.6
VulDB 一時的なスコア: 4.2
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: クロスサイトスクリプティングCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
タイムライン
2012年02月19日 🔍2012年03月07日 🔍
2012年03月08日 🔍
2012年03月08日 🔍
2012年03月20日 🔍
2012年04月04日 🔍
2012年04月08日 🔍
2018年04月26日 🔍
ソース
ベンダー: barracuda.com勧告: seclists.org
調査者: Benjamin Kunz Mejri (Rem0ve)
組織: Vulnerability Research Laboratory
ステータス: 未定義
GCVE (VulDB): GCVE-100-5018
SecurityFocus: 52358 - Barracuda CudaTel Communication Server Multiple HTML Injection Vulnerabilities
OSVDB: 80836
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2012年04月04日 11:34更新済み: 2018年04月26日 10:58
変更: 2012年04月04日 11:34 (59), 2018年04月26日 10:58 (2)
完了: 🔍
コミッター: stfr
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。