Google Gmail for iOS 2.4.2 Attachment Stored cross site scripting
CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
---|---|---|
5.7 | $0-$5k | 0.00 |
Podatność, która została odkryta w Google Gmail for iOS 2.4.2 (iOS App Software). Problemem dotknięta jest nieznana funkcja w komponencie Attachment Handler. Dzięki manipulowaniu przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności cross site scripting. Ma to wpływ na poufność, spójność i dostępność.
Błąd został odkryty w dniu 2013-10-08. Informacja o podatności została opublikowana w dniu 2013-10-12 przez osobę/y Roy Castillo w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem roy-castillo.blogspot.com. Producent współpracował przy koordynacji publikacji. Luka jest łatwo eksploitowalna. Możliwe jest zdalne zainicjowanie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Szczegóły techniczne są nieznane, ale publiczny exploit jest dostępny.
Exploit został ujawniony wydaniem poprawki. Exploit można ściągnąć pod adresem roy-castillo.blogspot.com. Uważa się go za proof-of-concept. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 2 dni.
Aktualizacja do wersji 2.4.3 eliminuje tę podatność. Aktualizacja jest dostępna pod adresem itunes.apple.com. Potencjalne zabezpieczenie zostało opublikowane przed po ujawnieniu podatności.
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 6.3VulDB Wynik metatemperatury: 5.7
VulDB Wynik podstawowy: 6.3
VulDB Wynik tymczasowy: 5.7
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
---|---|---|---|---|---|
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
Exploit
Imię: StoredKlasa: Cross site scripting / Stored
CWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Pobierać: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
0-Day | odblokować | odblokować | odblokować | odblokować |
---|---|---|---|---|
Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
0-dniowy czas: 🔍
Wykorzystaj czas opóźnienia: 🔍
Upgrade: Gmail for iOS 2.4.3
Oś czasu
2013-10-08 🔍2013-10-10 🔍
2013-10-11 🔍
2013-10-12 🔍
2013-10-12 🔍
2013-10-28 🔍
2019-03-25 🔍
Źródła
Sprzedawca: google.comRaport: roy-castillo.blogspot.com
Badacz: Roy Castillo
Status: Potwierdzone
Koordynowane: 🔍
SecurityFocus: 63214 - GMail for iOS Email Attachment Handling HTML Injection Vulnerability
OSVDB: 98980
scip Labs: https://www.scip.ch/en/?labs.20161013
Wpis
Stworzono: 2013-10-28 12:17Aktualizacje: 2019-03-25 07:51
Zmiany: 2013-10-28 12:17 (51), 2019-03-25 07:51 (6)
Kompletny: 🔍
Committer:
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.