SPIP до 4.1.13/4.2.7 File Upload javascript/bigup.js name межсайтовый скриптинг
| CVSS Meta Temp Score | Текущая цена эксплуатации (≈) | Балл интереса CTI |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Уязвимость была найдена в SPIP до 4.1.13/4.2.7. Она была классифицирована как проблемные. Затронута неизвестная функция файла javascript/bigup.js компонента File Upload. Использование CWE для объявления проблемы приводит к тому, что CWE-79. Консультация доступна для скачивания по адресу git.spip.net.
Эта уязвимость обрабатывается как CVE-2024-23659. Назначение CVE произошло 19.01.2024. Атаку можно осуществить удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK объявляет технику атаки как T1059.007.
Объявляется Не определено. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k.
Обновление до версии 4.1.14 и 4.2.8 способно решить эту проблему. Название патча следующее 0757f015717cb72b84dba0e9a375ec71caddf1c2. Исправление готово для загрузки по адресу git.spip.net. Рекомендуется обновить затронутый компонент.
Продукт
Тип
Имя
Версия
- 4.1.0
- 4.1.1
- 4.1.2
- 4.1.3
- 4.1.4
- 4.1.5
- 4.1.6
- 4.1.7
- 4.1.8
- 4.1.9
- 4.1.10
- 4.1.11
- 4.1.12
- 4.1.13
- 4.2.0
- 4.2.1
- 4.2.2
- 4.2.3
- 4.2.4
- 4.2.5
- 4.2.6
- 4.2.7
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Вектор: 🔒
VulDB Надежность: 🔍
CVSSv3
VulDB Meta Base Score: 4.8VulDB Meta Temp Score: 4.7
VulDB Базовый балл: 3.5
VulDB Временная оценка: 3.4
VulDB Вектор: 🔒
VulDB Надежность: 🔍
NVD Базовый балл: 6.1
NVD Вектор: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надежность: 🔍
Эксплуатация
Класс: межсайтовый скриптингCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Локальный: Нет
Удаленный: Да
Доступность: 🔒
Статус: Не определено
EPSS Score: 🔒
EPSS Percentile: 🔒
Прогнозирование цены: 🔍
Оценка текущей цены: 🔒
| 0-Day | разблокировать | разблокировать | разблокировать | разблокировать |
|---|---|---|---|---|
| Сегодня | разблокировать | разблокировать | разблокировать | разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендуется: ОбновлениеСтатус: 🔍
0-дневное время: 🔒
Обновление: SPIP 4.1.14/4.2.8
Патч: 0757f015717cb72b84dba0e9a375ec71caddf1c2
Временная шкала
19.01.2024 Консультация раскрыта19.01.2024 CVE присвоен
19.01.2024 Запись в VulDB создана
12.02.2024 Последнее обновление VulDB
Источники
Консультация: 0757f015717cb72b84dba0e9a375ec71caddf1c2Статус: Подтвержденный
CVE: CVE-2024-23659 (🔒)
Вход
Создано: 19.01.2024 07:17Обновлено: 12.02.2024 17:17
Изменения: 19.01.2024 07:17 (45), 12.02.2024 17:17 (11)
Завершить: 🔍
Cache ID: 3:807:103
Комментариев пока нет. Языки: ru + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.