TrueConf Server 4.3.7 keys[] Reflected межсайтовый скриптинг

В проблемные обнаружена уязвимость, классифицированная как TrueConf Server 4.3.7. Затронута неизвестная функция файла /admin/conferences/get-all-status/. Использование CWE для объявления проблемы приводит к тому, что CWE-80. Консультация доступна для скачивания по адресу exploit-db.com. Эта уязвимость была названа CVE-2017-20114. Атаку можно осуществить удаленно. Имеются технические подробности. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK объявляет технику атаки как T1059.007. Объявляется proof-of-concept. Эксплойт можно загрузить по адресу exploit-db.com. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. Обновление до версии 4.5.1 способно решить эту проблему. Рекомендуется обновить затронутый компонент.

Поле12.11.2022 00:1912.11.2022 00:3324.03.2023 21:07
risk111
cvss2_vuldb_basescore3.53.53.5
cvss2_vuldb_tempscore3.03.02.7
cvss2_vuldb_avNNN
cvss2_vuldb_acMMM
cvss2_vuldb_ciNNN
cvss2_vuldb_iiPPP
cvss2_vuldb_aiNNN
cvss3_meta_basescore3.54.14.1
cvss3_meta_tempscore3.24.04.0
cvss3_vuldb_basescore3.53.53.5
cvss3_vuldb_tempscore3.23.23.2
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cNNN
cvss3_vuldb_iLLL
cvss3_vuldb_aNNN
titlewordReflectedReflectedReflected
date1485648000 (29.01.2017)1485648000 (29.01.2017)1485648000 (29.01.2017)
locationExploit-DBExploit-DBExploit-DB
typeExploitExploitExploit
urlhttps://www.exploit-db.com/exploits/41184/https://www.exploit-db.com/exploits/41184/https://www.exploit-db.com/exploits/41184/
identifierEDB-ID 41184EDB-ID 41184EDB-ID 41184
person_nicknameLiquidWormLiquidWormLiquidWorm
availability111
date1485648000 (29.01.2017)1485648000 (29.01.2017)1485648000 (29.01.2017)
publicity111
urlhttps://www.exploit-db.com/exploits/41184/https://www.exploit-db.com/exploits/41184/https://www.exploit-db.com/exploits/41184/
developer_nicknameLiquidWormLiquidWormLiquidWorm
price_0day$0-$5k$0-$5k$0-$5k
exploitdb411844118441184
seealso96627 96629 96630 96631 96632 96633 9663496627 96629 96630 96631 96632 96633 9663496627 96629 96630 96631 96632 96633 96634
cvss2_vuldb_ePOCPOCPOC
cvss2_vuldb_rlNDNDOF
cvss2_vuldb_rcURURC
cvss3_vuldb_ePPP
cvss3_vuldb_rlXXO
cvss3_vuldb_rcRRC
cvss2_vuldb_auSSS
cvss3_vuldb_prLLL
nameServerServerServer
version4.3.74.3.74.3.7
file/admin/conferences/get-all-status//admin/conferences/get-all-status//admin/conferences/get-all-status/
argumentkeys[]keys[]keys[]
exploitdb_date1485648000 (29.01.2017)1485648000 (29.01.2017)1485648000 (29.01.2017)
cwe80 (межсайтовый скриптинг)80 (межсайтовый скриптинг)80 (межсайтовый скриптинг)
vendorTrueConfTrueConfTrueConf
cveCVE-2017-20114CVE-2017-20114CVE-2017-20114
responsibleVulDBVulDBVulDB
cve_assigned1656280800 (27.06.2022)1656280800 (27.06.2022)1656280800 (27.06.2022)
cve_nvd_summaryA vulnerability has been found in TrueConf Server 4.3.7 and classified as problematic. This vulnerability affects unknown code of the file /admin/conferences/get-all-status/. The manipulation of the argument keys[] leads to basic cross site scripting (Reflected). The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.A vulnerability has been found in TrueConf Server 4.3.7 and classified as problematic. This vulnerability affects unknown code of the file /admin/conferences/get-all-status/. The manipulation of the argument keys[] leads to basic cross site scripting (Reflected). The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.A vulnerability has been found in TrueConf Server 4.3.7 and classified as problematic. This vulnerability affects unknown code of the file /admin/conferences/get-all-status/. The manipulation of the argument keys[] leads to basic cross site scripting (Reflected). The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.
cvss3_cna_cNN
cvss3_cna_iLL
cvss3_cna_aNN
cve_cnaVulDBVulDB
cvss2_nvd_basescore3.53.5
cvss3_nvd_basescore5.45.4
cvss3_cna_basescore3.53.5
cvss3_nvd_avNN
cvss3_nvd_acLL
cvss3_nvd_prLL
cvss3_nvd_uiRR
cvss3_nvd_sCC
cvss3_nvd_cLL
cvss3_nvd_iLL
cvss3_nvd_aNN
cvss2_nvd_avNN
cvss2_nvd_acMM
cvss2_nvd_auSS
cvss2_nvd_ciNN
cvss2_nvd_iiPP
cvss2_nvd_aiNN
cvss3_cna_avNN
cvss3_cna_acLL
cvss3_cna_prLL
cvss3_cna_uiRR
cvss3_cna_sUU
nameОбновление
upgrade_version4.5.1

ПредыдущийОбзорДалее

Do you know our Splunk app?

Download it now for free!