Drupal до 7.x-dev Input Sanitizer Сохранено межсайтовый скриптинг

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
5.3	$0-$5k	0.00

СводкаИнформация

Уязвимость, классифицированная как проблематичный, была найдена в Drupal. Затронута неизвестная функция компонента Input Sanitizer. Манипуляция приводит к межсайтовый скриптинг (Сохранено). Эта уязвимость известна как CVE-2013-6387. Есть возможность удалённого запуска атаки. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Уязвимость, классифицированная как проблематичный, была найдена в Drupal. Затронута неизвестная функция компонента Input Sanitizer. Манипуляция приводит к межсайтовый скриптинг (Сохранено). Использование классификатора CWE для обозначения проблемы ведет к CWE-79. В уведомлении подытожено следующее:

Image field descriptions are not properly sanitized before they are printed to HTML, thereby exposing a cross-site scripting vulnerability.

Слабость была опубликована 20.11.2013 специалистом Francisco José Cruz Romanos от компании Drupal Security Team под идентификатором SA-CORE-2013-003 как Консультация (Веб-сайт). Консультация представлена на сайте drupal.org.

Эта уязвимость известна как CVE-2013-6387. Присвоение CVE было выполнено 04.11.2013. Есть возможность удалённого запуска атаки. Технические детали недоступны. Популярность этой уязвимости ниже среднего. Эксплойт недоступен. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Проект MITRE ATT&CK использует технику атаки T1059.007 для этой проблемы.

Объявляется Не определено. В статусе 0-day примерная стоимость на черном рынке была около $0-$5k. В сканере Nessus имеется плагин с ID 71098. Он отнесён к семейству Debian Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 12786 (Drupal Core Multiple Remote Vulnerabilities (SA-CORE-2013-003)).

Обновление до 7.24 может устранить эту уязвимость. Рекомендуется выполнить обновление уязвимого компонента.

Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 63848), X-Force (89168), Secunia (SA55713), Vulnerability Center (SBV-42440) и Tenable (71098).

ПродуктИнформация

Тип

• Content Management System

Имя

• Drupal

Версия

• 7.0
• 7.1
• 7.2
• 7.3
• 7.4
• 7.5
• 7.6
• 7.7
• 7.8
• 7.9
• 7.10
• 7.11
• 7.12
• 7.13
• 7.14
• 7.15
• 7.16
• 7.17
• 7.18
• 7.19
• 7.20
• 7.21
• 7.22
• 7.23
• 7.x-dev

Лицензия

• Открытый исходный код

Веб-сайт

• Продукт: https://www.drupal.org/

CPE 2.3Информация

• 🔍
• 🔍
• 🔍

CPE 2.2Информация

• 🔍
• 🔍
• 🔍

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.3

VulDB Базовый балл: 5.5
VulDB Временная оценка: 5.3
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Имя: Stored
Класс: межсайтовый скриптинг / Stored
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Nessus ID: 71098
Nessus Имя: Debian DSA-2804-1 : drupal7 - several vulnerabilities
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍

OpenVAS ID: 892804
OpenVAS Имя: Debian Security Advisory DSA 2804-1 (drupal7 - several vulnerabilities
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: Drupal 7.24

ХронологияИнформация

04.11.2013 🔍
20.11.2013 +16 дни 🔍
20.11.2013 +0 дни 🔍
20.11.2013 +0 дни 🔍
20.11.2013 +0 дни 🔍
21.11.2013 +1 дни 🔍
25.11.2013 +4 дни 🔍
02.12.2013 +7 дни 🔍
24.12.2013 +22 дни 🔍
02.06.2021 +2717 дни 🔍

ИсточникиИнформация

Продукт: drupal.org

Консультация: SA-CORE-2013-003
Исследователь: Francisco José Cruz Romanos
Организация: Drupal Security Team
Статус: Не определено
Подтверждение: 🔍

CVE: CVE-2013-6387 (🔍)
GCVE (CVE): GCVE-0-2013-6387
GCVE (VulDB): GCVE-100-11240

OVAL: 🔍

X-Force: 89168
SecurityFocus: 63848 - Drupal Core Image Module HTML Injection Vulnerability
Secunia: 55713 - Drupal Multiple Vulnerabilities, Less Critical
OSVDB: 100033
Vulnerability Center: 42440 - Drupal 7 Remote XSS Vulnerability in Image Module - CVE-2013-6387, Low

Смотрите также: 🔍

ВходИнформация

Создано: 25.11.2013 09:48
Обновлено: 02.06.2021 12:53
Изменения: 25.11.2013 09:48 (80), 16.05.2017 04:32 (6), 02.06.2021 12:53 (3)
Завершенный: 🔍
Коммиттер: olku
Cache ID: 216:A5E:103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!