Virtual Communication Services VPMi Enterprise 3.3 service_requests.asp Request_Name_Display межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
4.1$0-$5k0.00

СводкаИнформация

Обнаружена уязвимость, классифицированная как проблематичный, в Virtual Communication Services VPMi Enterprise 3.3. Неизвестная функция файла service_requests.asp затронута. Осуществление манипуляции над аргументом Request_Name_Display приводит к межсайтовый скриптинг. Данная уязвимость известна под идентификатором CVE-2006-1266. Возможно осуществить атаку удалённо. Более того, эксплойт доступен.

ПодробностиИнформация

Обнаружена уязвимость, классифицированная как проблематичный, в Virtual Communication Services VPMi Enterprise 3.3. Неизвестная функция файла service_requests.asp затронута. Осуществление манипуляции над аргументом Request_Name_Display приводит к межсайтовый скриптинг. Определение CWE для уязвимости следующее CWE-80. Информация о слабости была опубликована 14.03.2006 автором Steven M. Christey (Веб-сайт). Уведомление опубликовано для скачивания на attrition.org.

Данная уязвимость известна под идентификатором CVE-2006-1266. Присвоение CVE было выполнено 18.03.2006. Возможно осуществить атаку удалённо. Технические детали доступны. Уровень популярности этой уязвимости ниже среднего значения. Более того, эксплойт доступен. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. Согласно проекту MITRE ATT&CK, техника атаки называется T1059.007.

Присвоено значение Доказательство концепции. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.

Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 17172), X-Force (25339) и Secunia (SA19297).

ПродуктИнформация

Поставщик

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.1

VulDB Базовый балл: 4.3
VulDB Временная оценка: 4.1
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Доказательство концепции
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: о смягчении не известно
Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

14.03.2006 🔍
14.03.2006 +0 дни 🔍
14.03.2006 +0 дни 🔍
18.03.2006 +3 дни 🔍
18.03.2006 +0 дни 🔍
21.03.2006 +3 дни 🔍
21.03.2006 +0 дни 🔍
12.03.2015 +3278 дни 🔍
10.09.2017 +913 дни 🔍

ИсточникиИнформация

Консультация: attrition.org
Исследователь: Steven M. Christey
Статус: Не определено

CVE: CVE-2006-1266 (🔍)
GCVE (CVE): GCVE-0-2006-1266
GCVE (VulDB): GCVE-100-29236
X-Force: 25339 - VPMi Enterprise Service_Requests.asp cross-site scripting
SecurityFocus: 17172 - Virtual Communication Services VPMi Service_Requests.ASP Cross-Site Scripting Vulnerability
Secunia: 19297 - VPMi Enterprise "Request_Name_Display" Cross-Site Scripting, Less Critical
OSVDB: 23916 - VPMi Enterprise Service_Requests.asp Request_Name_Display Parameter XSS

scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 12.03.2015 12:19
Обновлено: 10.09.2017 10:37
Изменения: 12.03.2015 12:19 (57), 10.09.2017 10:37 (8)
Завершенный: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Обсуждение

Want to know what is going to be exploited?

We predict KEV entries!