WooCommerce myghpay Payment Gateway Plugin до 3.0 на WordPress Parameter ~/processresponse.php clientref межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
5.1$0-$5k0.00

СводкаИнформация

В WooCommerce myghpay Payment Gateway Plugin до 3.0 была найдена уязвимость, классифицированная как проблематичный. Неизвестная функция файла ~/processresponse.php компонента Parameter Handler вовлечена. Выполнение манипуляции с аргументом clientref приводит к межсайтовый скриптинг. Эта уязвимость обрабатывается как CVE-2021-39308. Есть возможность удалённого запуска атаки. Эксплойт отсутствует.

ПодробностиИнформация

В WooCommerce myghpay Payment Gateway Plugin до 3.0 была найдена уязвимость, классифицированная как проблематичный. Неизвестная функция файла ~/processresponse.php компонента Parameter Handler вовлечена. Выполнение манипуляции с аргументом clientref приводит к межсайтовый скриптинг. Использование CWE для объявления проблемы приводит к тому, что CWE-79. Данная уязвимость была опубликована 14.12.2021. Консультация доступна для скачивания по адресу wordfence.com.

Эта уязвимость обрабатывается как CVE-2021-39308. Назначение CVE произошло 20.08.2021. Есть возможность удалённого запуска атаки. Имеются технические подробности. Данная уязвимость менее популярна, чем в среднем. Эксплойт отсутствует. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. В проекте MITRE ATT&CK эта техника атаки обозначена как T1059.007.

Присвоено значение Не определено. Как 0-day, оценочная цена на теневом рынке составляла примерно $0-$5k.

ПродуктИнформация

Тип

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.2
VulDB Meta Temp Score: 5.1

VulDB Базовый балл: 4.3
VulDB Временная оценка: 4.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CNA Базовый балл: 6.1
CNA Вектор (Wordfence): 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: о смягчении не известно
Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

20.08.2021 🔍
14.12.2021 +116 дни 🔍
14.12.2021 +0 дни 🔍
17.12.2021 +3 дни 🔍

ИсточникиИнформация

Консультация: wordfence.com
Статус: Не определено

CVE: CVE-2021-39308 (🔍)
GCVE (CVE): GCVE-0-2021-39308
GCVE (VulDB): GCVE-100-188151

ВходИнформация

Создано: 14.12.2021 18:41
Обновлено: 17.12.2021 07:16
Изменения: 14.12.2021 18:41 (50), 17.12.2021 07:16 (1)
Завершенный: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!