| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Podatność, która została odkryta w Microsoft Outlook 2002/XP (Groupware Software). Problemem dotknięta jest nieznana funkcja w komponencie mailto Handler. Poprzez manipulowanie wartością wejściową " można doprowadzić do wystąpienia podatności cross site scripting. Wpływa to na poufność, spójność i dostępność.
Informacja o podatności została opublikowana w dniu 2004-03-09 przez osobę/y Jouko Pynnönen z firmy iDefense jako MS04-009 (Website). Raport na temat podatności został udostępniony pod adresem idefense.com. Producent współpracował przy koordynacji publikacji. Podatność ta jest znana jako CVE-2004-0121. Luka jest stosunkowo popularna, co wynika między innymi z jej niskiej złożoności. Atak może zostać zainicjowany zdalnie. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły, jak również publiczny exploit są znane.
Exploit można ściągnąć pod adresem cvsweb.nessus.org. Uważa się go za proof-of-concept. Skaner podatności Nessus jest wyposażony w plugin ID 12092 (MS04-009: Vulnerability in Outlook could allow code execution (828040)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem microsoft.com. Potencjalne zabezpieczenie zostało opublikowane przed po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności X-Force (15429) i Tenable (12092).
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 6.3VulDB Wynik metatemperatury: 5.7
VulDB Wynik podstawowy: 6.3
VulDB Wynik tymczasowy: 5.7
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Cross site scriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Pobierać: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 12092
Nessus Imię: MS04-009: Vulnerability in Outlook could allow code execution (828040)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: PoprawkaStatus: 🔍
0-dniowy czas: 🔍
Poprawka: microsoft.com
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Wersja: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Oś czasu
2003-11-12 🔍2004-03-09 🔍
2004-03-09 🔍
2004-03-09 🔍
2004-03-09 🔍
2004-03-09 🔍
2004-03-10 🔍
2004-03-10 🔍
2004-03-10 🔍
2004-04-15 🔍
2019-06-27 🔍
Źródła
Sprzedawca: microsoft.comRaport: MS04-009⛔
Badacz: Jouko Pynnönen
Organizacja: iDefense
Status: Nie określono
Koordynowane: 🔍
CVE: CVE-2004-0121 (🔍)
OVAL: 🔍
X-Force: 15429 - Microsoft Outlook MS04-009 patch is not installed, High Risk
Vulnerability Center: 3944 - [MS04-009] Microsoft Outlook 2002 Allows Cross Site Scripting, Medium
SecurityFocus: 9827 - Microsoft Outlook Mailto Parameter Quoting Zone Bypass Vulnerability
Secunia: 11076 - Microsoft Outlook 2002 mailto URI Cross Site Scripting Vulnerability, Highly Critical
OSVDB: 4168 - Microsoft Outlook 2002 mailto URI Script Injection
scip Labs: https://www.scip.ch/en/?labs.20161013
Inne: 🔍
Wpis
Stworzono: 2004-03-10 09:26Aktualizacje: 2019-06-27 21:41
Zmiany: 2004-03-10 09:26 (101), 2019-06-27 21:41 (3)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.