VDB-243775 · CVE-2023-5835 · GCVE-100-243775

hu60t hu60wap6 src/class/ubbparser.php markdown Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.3	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em hu60t hu60wap6 e classificada como problemático. Afetado é a função markdown do arquivo src/class/ubbparser.php. A manipulação com uma entrada desconhecida leva a Script de Site Cruzado. Esta vulnerabilidade é conhecida como CVE-2023-5835. O ataque pode ser feito a partir da rede. Não existe exploit disponível. Este produto utiliza um modelo de lançamento contínuo (rolling release) para fornecer entregas contínuas. Portanto, não há detalhes de versões afetadas ou atualizadas disponíveis. Recomenda-se aplicar um patch para corrigir este problema.

Detalhesinformação

Uma vulnerabilidade foi encontrada em hu60t hu60wap6 e classificada como problemático. Afetado é a função markdown do arquivo src/class/ubbparser.php. A manipulação com uma entrada desconhecida leva a Script de Site Cruzado. Declarar o problema usando CWE resulta em CWE-79. A fraqueza foi publicada 27/10/2023 como a1cd9f12d7687243bfcb7ce295665acb83b9174e. O comunicado está disponível para download em github.com.

Esta vulnerabilidade é conhecida como CVE-2023-5835. O ataque pode ser feito a partir da rede. Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. A técnica de ataque utilizada por esta edição é T1059.007 de acordo com MITRE ATT&CK.

É declarado como não definido. Como 0-day, o preço estimado no mercado negro era cerca de $0-$5k.

Este produto utiliza um modelo de lançamento contínuo (rolling release) para fornecer entregas contínuas. Portanto, não há detalhes de versões afetadas ou atualizadas disponíveis. O nome da correção é a1cd9f12d7687243bfcb7ce295665acb83b9174e. A correção está pronta para download em github.com. Recomenda-se aplicar um patch para corrigir este problema. O aviso inclui o seguinte comentário:

UBB解析：修复4个空格或一个tab开头的markdown代码块解析时的XSS漏洞

Produtoinformação

Fabricante

hu60t

Nome

hu60wap6

Licença

código aberto

Site

Produto: https://github.com/hu60t/hu60wap6/

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 4.4
VulDB Meta Pontuação Temporária: 4.3

VulDB Pontuação Base: 3.5
VulDB Pontuação Temporária: 3.4
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 6.1
NVD Vetor: 🔍

CNA Pontuação Base: 3.5
CNA Vetor (VulDB): 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍