Google Chrome 28.0.1500.95 browser.cookie подделка межсайтовых запросов
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Сводка
Была найдена уязвимость, отнесённая к категории проблематичный, в Google Chrome 28.0.1500.95. Неизвестная функция файла browser.cookie затронута. Осуществление манипуляции приводит к подделка межсайтовых запросов. Уязвимость зарегистрирована как CVE-2013-6166. Более того, существует эксплойт. Рекомендуется установить обновление для решения этой проблемы.
Подробности
Была найдена уязвимость, отнесённая к категории проблематичный, в Google Chrome 28.0.1500.95. Неизвестная функция файла browser.cookie затронута. Осуществление манипуляции приводит к подделка межсайтовых запросов. Декларирование проблемы с помощью CWE приводит к CWE-352. Информация о слабости была опубликована 10.10.2013 автором Stefan Bühler как Mailinglist Post (oss-sec). Консультация доступна для загрузки на seclists.org. Публичная публикация произошла без взаимодействия с производителем.
Уязвимость зарегистрирована как CVE-2013-6166. Назначение CVE произошло 16.10.2013. Имеются технические подробности. Уровень популярности этой уязвимости ниже среднего значения. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Сейчас цена на эксплойт приблизительно равна USD $0-$5k.
Указано значение Доказательство концепции. Эксплойт доступен по адресу exploit-db.com. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $25k-$100k. Сканер уязвимостей Nessus предоставляет плагин с идентификатором 69423. Он принадлежит семейству Windows.
Обновлённая версия доступна для загрузки по адресу chrome.google.com. Обновление уже доступно для загрузки по адресу code.google.com. Рекомендуется установить обновление для решения этой проблемы.
Данная уязвимость также присутствует в других базах данных уязвимостей: X-Force (88109), Vulnerability Center (SBV-43848) и Tenable (69423).
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Поставщик: https://www.google.com/
- Продукт: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Базовый балл: 5.3
VulDB Временная оценка: 4.8
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: подделка межсайтовых запросовCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 69423
Nessus Имя: Google Chrome < 29.0.1547.57 Multiple Vulnerabilities
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
OpenVAS ID: 801329
OpenVAS Имя: Google Chrome Cross-Site Request Forgery (CSRF) Vulnerability (Windows)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Exploit-DB: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ПатчСтатус: 🔍
0-дневное время: 🔍
Обновление: chrome.google.com
Патч: code.google.com
Хронология
04.04.2013 🔍10.10.2013 🔍
16.10.2013 🔍
22.10.2013 🔍
15.02.2014 🔍
01.04.2014 🔍
15.12.2024 🔍
Источники
Поставщик: google.comПродукт: google.com
Консультация: seclists.org
Исследователь: Stefan Bühler
Статус: Подтверждённый
Подтверждение: 🔍
CVE: CVE-2013-6166 (🔍)
GCVE (CVE): GCVE-0-2013-6166
GCVE (VulDB): GCVE-100-10867
OVAL: 🔍
X-Force: 88109
OSVDB: 98762
Vulnerability Center: 43848 - Google Chrome Before 29.0.1547.57 Remote Code Execution Vulnerability via a Crafted Parameter, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍
Вход
Создано: 22.10.2013 17:42Обновлено: 15.12.2024 16:13
Изменения: 22.10.2013 17:42 (73), 24.05.2017 10:54 (2), 31.05.2021 14:46 (3), 15.12.2024 16:13 (23)
Завершенный: 🔍
Коммиттер:
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.