| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.7 | $0-$5k | 0.00 |
要約
MyBB 1.8.6内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Error Handler】の未知の機能です。 この操作は、 クロスサイトスクリプティング (Reflected)を引き起こします。 リモート攻撃が可能です。 さらに、攻撃手法が利用可能です。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
MyBB 1.8.6内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Error Handler】の未知の機能です。 この操作は、 クロスサイトスクリプティング (Reflected)を引き起こします。 問題をCWEで宣言すると、CWE-80 になります。 この弱点は発表されました 2016年11月10日 Tim Coenによって (Curesec Research Teamとともに) MyBB 1.8.6: XSSとして Mailinglist Postとして (Full-Disclosure)。 アドバイザリはseclists.orgにて共有されています。 公開情報のリリースはベンダーと協議済みです。
リモート攻撃が可能です。 技術的な詳細は利用できません。 この脆弱性の一般的な利用度は平均を下回っています。 さらに、攻撃手法が利用可能です。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトはT1059.007という攻撃手法を宣言しています。 アドバイザリは以下の内容を示しています:
When displaying an error, MyBB echoes user input in a style context, allowing an attacker to inject CSS. With this, it may be possible to change the look of the website or extract information, and it may lead to XSS in older browsers.
概念実証 として宣言されています。 エクスプロイトのダウンロード先はseclists.orgです。 この脆弱性は少なくとも279日間、非公開のゼロデイ脆弱性として扱われていました。 0dayにはおよそ $5k-$25k の価値があったと予想しています。 】のプラグインを提供しています。
この問題は、1.8.7へのアップグレードによって解決可能です。 アップデートされたバージョンはresources.mybb.comよりダウンロード可能です。 影響を受けたコンポーネントのアップグレードを推奨します。 脆弱性が公開されてから 前 後に、対策が発表されました。
製品
タイプ
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.3VulDB 一時的なメタスコア: 3.7
VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 3.7
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
名前: Reflectedクラス: クロスサイトスクリプティング / Reflected
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Tim Coen
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
アップグレード: MyBB 1.8.7
タイムライン
2016年01月29日 🔍2016年02月26日 🔍
2016年11月03日 🔍
2016年11月10日 🔍
2016年11月10日 🔍
2016年11月11日 🔍
2019年07月25日 🔍
ソース
製品: mybb.com勧告: MyBB 1.8.6: XSS
調査者: Tim Coen
組織: Curesec Research Team
ステータス: 未定義
調整済み: 🔍
GCVE (VulDB): GCVE-100-93565
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2016年11月11日 15:40更新済み: 2019年07月25日 06:51
変更: 2016年11月11日 15:40 (55), 2019年07月25日 06:51 (2)
完了: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。