| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Odkryto lukę w Apache Wicket. Dotknięta jest nieznana funkcja w komponencie Ajax Link Handler. Poprzez manipulowanie wartością wejściową %00 można doprowadzić do wystąpienia podatności cross site scripting. Wpływa to na poufność, spójność i dostępność.
Informacja o podatności została opublikowana w dniu upubliczniona 2012-09-06 przez osobę/y Thomas Heigl jako Apache Wicket XSS vulnerability w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem wicket.apache.org. Publikacja informacji została skoordynowana z producentem. Podatność ta jest zwana CVE-2012-3373. Eksploitacja luki jest uważana za łatwą. Atak może zostać zainicjowany zdalnie. Eksploitacja nie wymaga żadnej formy uwierzytelnienia. Techniczne szczegóły, jak również prywatny exploit są znane.
Uważa się go za bardzo funkcjonalny.
Aktualizacja do wersji 1.4.21, 1.5.8 lub 6.0.0 eliminuje tę podatność. Aktualizacja jest dostępna pod adresem wicket.apache.org. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności X-Force (78321).
Produkt
Sprzedawca
Imię
Wersja
- 1.4.1
- 1.4.2
- 1.4.3
- 1.4.4
- 1.4.5
- 1.4.6
- 1.4.7
- 1.4.8
- 1.4.9
- 1.4.10
- 1.4.11
- 1.4.12
- 1.4.13
- 1.4.14
- 1.4.15
- 1.4.16
- 1.4.17
- 1.4.18
- 1.4.19
- 1.4.20
- 1.5.0
- 1.5.1
- 1.5.2
- 1.5.3
- 1.5.4
- 1.5.5
- 1.5.6
- 1.5.7
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 6.3VulDB Wynik metatemperatury: 6.0
VulDB Wynik podstawowy: 6.3
VulDB Wynik tymczasowy: 6.0
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Cross site scriptingCWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Prywatny
Status: Bardzo funkcjonalny
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍
Upgrade: Wicket 1.4.21/1.5.8/6.0.0
Oś czasu
2012-06-14 🔍2012-09-06 🔍
2012-09-06 🔍
2012-09-06 🔍
2012-09-07 🔍
2012-09-08 🔍
2012-09-10 🔍
2012-09-10 🔍
2012-09-19 🔍
2018-04-29 🔍
Źródła
Sprzedawca: apache.orgRaport: Apache Wicket XSS vulnerability
Badacz: Thomas Heigl
Status: Potwierdzone
Potwierdzenie: 🔍
Koordynowane: 🔍
CVE: CVE-2012-3373 (🔍)
X-Force: 78321 - Apache Wicket unspecified cross-site scripting, Medium Risk
SecurityTracker: 1027508
SecurityFocus: 55445 - Apache Wicket CVE-2012-3373 Cross Site Scripting Vulnerability
Secunia: 50555 - Apache Wicket Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 85249
scip Labs: https://www.scip.ch/en/?labs.20161013
Wpis
Stworzono: 2012-09-10 17:30Aktualizacje: 2018-04-29 10:35
Zmiany: 2012-09-10 17:30 (70), 2018-04-29 10:35 (7)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.