Barracuda SSL VPN 680Vx 2.3.3.193 Parameter showSystemConfiguration.do cross site scripting
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Podatność, która została odkryta w Barracuda SSL VPN 680Vx 2.3.3.193 (Network Encryption Software). Problemem dotknięta jest nieznana funkcja w pliku showSystemConfiguration.do w komponencie Parameter Handler. Poprzez manipulowanie argumentem propertyItem[25].value/propertyItem[1].value/propertyItem[2].value'/'propertyItem[3].value/propertyItem[8].value przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności cross site scripting. Wpływa to na poufność, spójność i dostępność.
Błąd został odkryty w dniu 2013-03-05. Informacja o podatności została opublikowana w dniu 2013-07-01 przez osobę/y Gjoko Krstic (LiquidWorm) z firmy Zero Science Lab w formie nie określono raport (Website). Raport na temat podatności został udostępniony pod adresem zeroscience.mk. Producent współpracował przy koordynacji publikacji. Luka uchodzi za łatwo wykorzystywalną. Atak może zostać zainicjowany zdalnie. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły, jak również publiczny exploit są znane.
Exploit został stworzony przez LiquidWorm (LiquidWorm) i opublikowany później , niż raport o błędzie. Exploit można ściągnąć pod adresem exploit-db.com. Uważa się go za proof-of-concept. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 95 dni.
Aktualizacja do wersji 2.3.3.216 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności Exploit-DB (26527).
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 6.3VulDB Wynik metatemperatury: 5.7
VulDB Wynik podstawowy: 6.3
VulDB Wynik tymczasowy: 5.7
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
Exploit
Klasa: Cross site scriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Autor: LiquidWorm (LiquidWorm)
Pobierać: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Exploit-DB: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
0-dniowy czas: 🔍
Wykorzystaj czas opóźnienia: 🔍
Upgrade: SSL VPN 680Vx 2.3.3.216
Oś czasu
2013-03-05 🔍2013-06-08 🔍
2013-07-01 🔍
2013-07-01 🔍
2013-07-01 🔍
2013-07-03 🔍
2013-07-03 🔍
2019-03-20 🔍
Źródła
Sprzedawca: barracuda.comRaport: zeroscience.mk
Badacz: Gjoko Krstic (LiquidWorm)
Organizacja: Zero Science Lab
Status: Nie określono
Koordynowane: 🔍
Secunia: 53982 - Barracuda SSL VPN Multiple Vulnerabilities, Less Critical
OSVDB: 94728
scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍
Wpis
Stworzono: 2013-07-03 12:52Aktualizacje: 2019-03-20 07:53
Zmiany: 2013-07-03 12:52 (60), 2019-03-20 07:53 (7)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.