VDB-289154 · Отправить #459903 · CVE-2024-12893

Portabilis i-Educar до 2.9 Tipo de Usuário Page /usuarios/tipos/2 Имя межсайтовый скриптинг

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
3.3	$0-$5k	0.65

СводкаИнформация

Уязвимость была найдена в Portabilis i-Educar до 2.9. Она была объявлена как проблематичный. Вовлечена неизвестная функция файла /usuarios/tipos/2 компонента Tipo de Usuário Page. Манипуляция аргументом Имя приводит к межсайтовый скриптинг. Выявление этой уязвимости является CVE-2024-12893. Есть возможность удалённого запуска атаки. Также существует доступный эксплойт. Этот продукт является управляемым сервисом. Это означает, что пользователи не могут самостоятельно поддерживать меры противодействия уязвимостям.

ПодробностиИнформация

Уязвимость была найдена в Portabilis i-Educar до 2.9. Она была объявлена как проблематичный. Вовлечена неизвестная функция файла /usuarios/tipos/2 компонента Tipo de Usuário Page. Манипуляция аргументом Имя приводит к межсайтовый скриптинг. Использование классификатора CWE для обозначения проблемы ведет к CWE-79. Слабость была опубликована специалистом Geraldo Alves (regularus3r). Консультацию можно прочитать на сайте github.com.

Выявление этой уязвимости является CVE-2024-12893. Есть возможность удалённого запуска атаки. Техническая информация предоставлена. Популярность этой уязвимости ниже среднего. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK определяет технику атаки как T1059.007.

Задано как Доказательство концепции. Эксплойт можно загрузить по адресу github.com. .

Этот продукт является управляемым сервисом. Это означает, что пользователи не могут самостоятельно поддерживать меры противодействия уязвимостям.

ПродуктИнформация

Поставщик

Portabilis

Имя

i-Educar

Версия

Managed Service

Да

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Вектор: 🔍

CVSSv3Информация

VulDB Meta Base Score: 3.4
VulDB Meta Temp Score: 3.3

VulDB Базовый балл: 2.4
VulDB Временная оценка: 2.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 5.4
NVD Вектор: 🔍

CNA Базовый балл: 2.4
CNA Вектор: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

21.12.2024 🔍
21.12.2024 +0 дни 🔍
02.07.2025 +193 дни 🔍

ИсточникиИнформация

Консультация: github.com
Исследователь: Geraldo Alves (regularus3r)
Статус: Не определено

CVE: CVE-2024-12893 (🔍)
GCVE (CVE): GCVE-0-2024-12893
GCVE (VulDB): GCVE-100-289154
scip Labs: https://www.scip.ch/en/?labs.20161013