ownCloud до 6.0.0 File Upload filename межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплуатации (≈)Балл интереса CTI
4.4$0-$5k0.00

Уязвимость была найдена в ownCloud до 6.0.0 и классифицирована как проблемные. Затронута неизвестная функция компонента File Upload. Определение CWE для уязвимости следующее CWE-79. Резюме по CVE следующее:

Cross-site scripting (XSS) vulnerability in ownCloud before 6.0.1 allows remote authenticated users to inject arbitrary web script or HTML via the filename of an uploaded file.
Ошибка была обнаружена 05.02.2014. Консультация представлена на сайте exploit-db.com.

Эта уязвимость однозначно идентифицируется как CVE-2014-1665. Назначение CVE произошло 24.01.2014. Атака может быть осуществлена удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1059.007 для этой проблемы.

Объявляется proof-of-concept. Эксплойт доступен для загрузки на сайте exploit-db.com. Уязвимость обрабатывалась как непубличный эксплойт нулевого дня в течение как минимум 1504 дней. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.

Обновление до версии 6.0.1 способно решить эту проблему. Рекомендуется обновить затронутый компонент.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 65457) и X-Force (91012).

ПродуктИнформацияРедактировать

Тип

Имя

CPE 2.3ИнформацияРедактировать

CPE 2.2ИнформацияРедактировать

CVSSv3ИнформацияРедактировать

VulDB Meta Base Score: 4.8
VulDB Meta Temp Score: 4.6

VulDB Базовый балл: 4.3
VulDB Временная оценка: 3.9
VulDB Вектор: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 5.4
NVD Вектор: 🔍

CVSSv2ИнформацияРедактировать

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформацияРедактировать

Класс: межсайтовый скриптинг
CWE: CWE-79
ATT&CK: T1059.007

Локальный: Нет
Удаленный: Да

Доступность: 🔍
Доступ: публичный
Статус: Proof-of-Concept
Автор: Absane
Скачать: 🔍
Прогнозирование цены: 🔍
Оценка текущей цены: 🔍

0-Dayразблокироватьразблокироватьразблокироватьразблокировать
Сегодняразблокироватьразблокироватьразблокироватьразблокировать

OpenVAS ID: 870844
OpenVAS Имя: ownCloud XSS and CSRF Protection Bypass Vulnerabilities Mar18 (Windows)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Exploit-DB: 🔍

Разведка угрозИнформацияРедактировать

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформацияРедактировать

Рекомендуется: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: ownCloud 6.0.1

Временная шкалаИнформацияРедактировать

24.01.2014 🔍
05.02.2014 +12 дни 🔍
05.02.2014 +0 дни 🔍
05.02.2014 +0 дни 🔍
05.02.2014 +0 дни 🔍
20.03.2018 +1504 дни 🔍
20.03.2018 +0 дни 🔍
21.03.2018 +1 дни 🔍
05.02.2021 +1052 дни 🔍

ИсточникиИнформацияРедактировать

Консультация: EDB-ID 31427
Исследователь: absane (Absane)
Статус: Подтвержденный

CVE: CVE-2014-1665 (🔍)
X-Force: 91012
SecurityFocus: 65457 - ownCloud CVE-2014-1665 Multiple Cross Site Request Forgery and HTML Injection Vulnerabilities
OSVDB: 102978 - CVE-2014-1665 - Owncloud - Owncloud - Low

scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформацияРедактировать

Создано: 21.03.2018 07:34
Обновлено: 05.02.2021 14:28
Изменения: (1) advisory_person_name
Завершить: 🔍

Комментарии

Комментариев пока нет. Языки: ru + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!