Edgewall Software Trac 0.9/0.9.1/0.9.2 Error Page межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
3.9$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в Edgewall Software Trac 0.9/0.9.1/0.9.2. Она была объявлена как проблематичный. Неизвестная функция компонента Error Page поражена. Манипуляция приводит к межсайтовый скриптинг. Выявление этой уязвимости является CVE-2005-4305. Атаку можно осуществить удаленно. Эксплойт не найден. Рекомендуется провести обновление затронутого компонента.

ПодробностиИнформация

Уязвимость была найдена в Edgewall Software Trac 0.9/0.9.1/0.9.2. Она была объявлена как проблематичный. Неизвестная функция компонента Error Page поражена. Манипуляция приводит к межсайтовый скриптинг. Использование классификатора CWE для обозначения проблемы ведет к CWE-80. Уязвимость была выявлена 16.12.2005. Слабость была опубликована 16.12.2005 (Веб-сайт). Консультацию можно прочитать на сайте xforce.iss.net.

Выявление этой уязвимости является CVE-2005-4305. Дата назначения CVE — 16.12.2005. Атаку можно осуществить удаленно. Техническая информация не предоставлена. Популярность этой уязвимости ниже среднего. Эксплойт не найден. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK определяет технику атаки как T1059.007.

Задано как Доказательство концепции. В статусе 0-day примерная стоимость на черном рынке была около $0-$5k. Сканер уязвимостей Nessus предоставляет плагин с ID 20814 (GLSA-200601-12 : Trac: XSS vulnerability), который помогает определить наличие изъяна в целевой среде. Ему присвоено семейство Gentoo Local Security Checks. Данный плагин работает в контексте типа l. Работает через порт 0.

Обновление до версии 0.9 способно решить эту проблему. Рекомендуется провести обновление затронутого компонента. Возможное средство устранения было опубликовано через 2 месяцы после раскрытия уязвимости.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 16386), X-Force (23775), Secunia (SA18048), SecurityTracker (ID 1015363) и Vulnerability Center (SBV-10225).

ПродуктИнформация

Поставщик

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 3.9

VulDB Базовый балл: 4.3
VulDB Временная оценка: 3.9
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Доказательство концепции

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 20814
Nessus Имя: GLSA-200601-12 : Trac: XSS vulnerability
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 57081
OpenVAS Имя: FreeBSD Ports: trac, ja-trac
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: Trac 0.9

ХронологияИнформация

15.12.2005 🔍
16.12.2005 +1 дни 🔍
16.12.2005 +0 дни 🔍
16.12.2005 +0 дни 🔍
16.12.2005 +0 дни 🔍
16.12.2005 +0 дни 🔍
26.01.2006 +41 дни 🔍
29.01.2006 +3 дни 🔍
30.01.2006 +1 дни 🔍
12.03.2015 +3328 дни 🔍
13.06.2019 +1554 дни 🔍

ИсточникиИнформация

Консультация: xforce.iss.net
Статус: Не определено
Подтверждение: 🔍

CVE: CVE-2005-4305 (🔍)
GCVE (CVE): GCVE-0-2005-4305
GCVE (VulDB): GCVE-100-27554
X-Force: 23775
SecurityFocus: 16386 - Edgewall Software Trac Cross-Site Scripting Vulnerability
Secunia: 18048
OSVDB: 21774 - Edgewall Software - Trac - Cross-Site Scripting Issue
SecurityTracker: 1015363
Vulnerability Center: 10225 - Edgewall Trac up to 0.9.2 XSS via the Path Parameter, Medium
Vupen: ADV-2005-2936

Смотрите также: 🔍

ВходИнформация

Создано: 12.03.2015 11:11
Обновлено: 13.06.2019 16:38
Изменения: 12.03.2015 11:11 (72), 13.06.2019 16:38 (11)
Завершенный: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!