VDB-270949 · CVE-2024-38972 · GCVE-0-2024-38972

Netbox 4.0.3 /dcim/power-ports/add/ Имя межсайтовый скриптинг

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
5.2	$0-$5k	0.00

СводкаИнформация

В проблематичный обнаружена уязвимость, классифицированная как Netbox 4.0.3. Неизвестная функция файла /dcim/power-ports/add/ затронута. Осуществление манипуляции над аргументом Имя приводит к межсайтовый скриптинг. Эта уязвимость продается как CVE-2024-38972. Атака может быть осуществлена удаленно. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.

ПодробностиИнформация

В проблематичный обнаружена уязвимость, классифицированная как Netbox 4.0.3. Неизвестная функция файла /dcim/power-ports/add/ затронута. Осуществление манипуляции над аргументом Имя приводит к межсайтовый скриптинг. Декларирование проблемы с помощью CWE приводит к CWE-79. Информация о слабости была опубликована. Документ доступен для загрузки по адресу github.com.

Эта уязвимость продается как CVE-2024-38972. CVE был назначен 21.06.2024. Атака может быть осуществлена удаленно. Доступна техническая информация. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Техника атаки по классификации MITRE ATT&CK: T1059.007.

Задано как Не определено. Уязвимость оставалась в статусе непубличного эксплойта нулевого дня не менее 206 дней. .

Рекомендуется произвести апгрейд соответствующего компонента.

ПродуктИнформация

Имя

Netbox

Версия

4.0.3

CPE 2.3Информация

🔍

CPE 2.2Информация

🔍

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.2
VulDB Meta Temp Score: 5.2

VulDB Базовый балл: 3.5
VulDB Временная оценка: 3.4
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 6.1
NVD Вектор: 🔍

CNA Базовый балл: 6.1
CNA Вектор (MITRE): 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

01.12.2023 🔍
21.06.2024 +202 дни 🔍
24.06.2024 +3 дни 🔍
09.07.2024 +15 дни 🔍
09.07.2024 +0 дни 🔍
19.03.2025 +253 дни 🔍

ИсточникиИнформация

Консультация: github.com
Статус: Подтверждённый

CVE: CVE-2024-38972 (🔍)
GCVE (CVE): GCVE-0-2024-38972
GCVE (VulDB): GCVE-100-270949

ВходИнформация

Создано: 09.07.2024 23:15
Обновлено: 19.03.2025 19:26
Изменения: 09.07.2024 23:15 (53), 10.07.2024 18:18 (3), 10.07.2024 18:22 (5), 11.07.2024 06:43 (12), 12.07.2024 15:02 (11), 19.03.2025 19:26 (4)
Завершенный: 🔍
Коммиттер: Anonymous User
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Обсуждение

Couple of things.

You opened up (spammed) VulDB for the same vulnerability (on a single page /cables/) the link between ports (power port, interfaces, front ports, rear ports, power outlets, console cables, console ports, power feeds, circuits, etc) is incorrectly sanitized. In the same vein, both /add and /edit are the same form, just with data pre-filled or missing. This is at best 1 vulnerability, not 17+ since the actual issue can only be presented in 1 area.

You did not follow the proper vulnerability disclosure process (opening a vulnerability report on github) and as such did not read our security.md file.

The vulnerabilities were disclosed by a 3rd party at https://github.com/minhquan202/Vuln-Netbox and we are not responsible for these CVEs as they were assigned by MITRE. Please contact them for disputes and merges. We will incorporate their actions.

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!