Business Objects Crystal Enterprise до 10 Report .RPT URL межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
4.3$0-$5k0.00

СводкаИнформация

Уязвимость, классифицированная как проблематичный, была найдена в Business Objects Crystal Enterprise до 10. Поражена неизвестная функция компонента Report .RPT URL Handler. Осуществление манипуляции приводит к межсайтовый скриптинг. Эта уязвимость известна как CVE-2004-2742. К атаке нужно подходить локально. Также существует доступный эксплойт. Рекомендуется применить патч для устранения этой проблемы.

ПодробностиИнформация

Уязвимость, классифицированная как проблематичный, была найдена в Business Objects Crystal Enterprise до 10. Поражена неизвестная функция компонента Report .RPT URL Handler. Осуществление манипуляции приводит к межсайтовый скриптинг. Определение CWE для уязвимости следующее CWE-79. Уязвимость была выявлена 10.11.2004. Информация о слабости была опубликована 27.12.2004 совместно с Business Objects (Веб-сайт). Консультацию можно прочитать на сайте support.businessobjects.com.

Эта уязвимость известна как CVE-2004-2742. Дата назначения CVE — 08.10.2007. К атаке нужно подходить локально. Техническая информация не предоставлена. Сложность атаки довольно высокая. Эксплуатация уязвимости считается затруднительной. Уровень популярности этой уязвимости превышает средний. Также существует доступный эксплойт. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Проект MITRE ATT&CK определяет технику атаки как T1059.007.

Объявляется Высокофункциональный. Уязвимость рассматривалась как непубличный эксплойт нулевого дня в течение как минимум 47 дней. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.

Исправление ошибки доступно для загрузки на support.businessobjects.com. Рекомендуется применить патч для устранения этой проблемы.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 12107), X-Force (18684), Secunia (SA13644) и SecurityTracker (ID 1012703).

ПродуктИнформация

Поставщик

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 4.5
VulDB Meta Temp Score: 4.3

VulDB Базовый балл: 4.5
VulDB Временная оценка: 4.3
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Физический: Частично
Локальный: Да
Удалённый: Да

Доступность: 🔍
Статус: Высокофункциональный

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Патч
Статус: 🔍

0-дневное время: 🔍

Патч: support.businessobjects.com

ХронологияИнформация

10.11.2004 🔍
27.12.2004 +47 дни 🔍
27.12.2004 +0 дни 🔍
27.12.2004 +0 дни 🔍
27.12.2004 +0 дни 🔍
27.12.2004 +0 дни 🔍
31.12.2004 +3 дни 🔍
10.01.2005 +10 дни 🔍
08.10.2007 +1001 дни 🔍
30.06.2019 +4283 дни 🔍

ИсточникиИнформация

Консультация: support.businessobjects.com
Исследователь: http://www.businessobjects.com
Организация: Business Objects
Статус: Подтверждённый
Подтверждение: 🔍

CVE: CVE-2004-2742 (🔍)
GCVE (CVE): GCVE-0-2004-2742
GCVE (VulDB): GCVE-100-1090
X-Force: 18684 - Crystal Enterprise report files cross-site scripting, Medium Risk
SecurityFocus: 12107 - Business Objects Crystal Enterprise Report File Cross-Site Scripting Vulnerability
Secunia: 13644 - Crystal Enterprise Report File Cross-Site Scripting Vulnerability, Less Critical
OSVDB: 12596 - Crystal Enterprise Report File XSS
SecurityTracker: 1012703

scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 10.01.2005 11:10
Обновлено: 30.06.2019 20:08
Изменения: 10.01.2005 11:10 (79), 30.06.2019 20:08 (1)
Завершенный: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Обсуждение

Want to stay up to date on a daily basis?

Enable the mail alert feature now!