Sun Java System Identity Manager до 7.0 activeControl межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
3.9$0-$5k0.00

СводкаИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в Sun Java System Identity Manager до 7.0. Неизвестная функция компонента Identity Manager используется. Осуществление манипуляции над аргументом activeControl приводит к межсайтовый скриптинг. Эта уязвимость проходит под номером CVE-2008-0239. Атаку можно провести дистанционно. Также существует доступный эксплойт. Рекомендуется провести обновление затронутого компонента.

ПодробностиИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в Sun Java System Identity Manager до 7.0. Неизвестная функция компонента Identity Manager используется. Осуществление манипуляции над аргументом activeControl приводит к межсайтовый скриптинг. Определение CWE для уязвимости следующее CWE-79. Уязвимость была выявлена 11.06.2007. Информация о слабости была опубликована 11.01.2008 автором Adrian Pastor совместно с ProCheckUp как Posting (Bugtraq). Консультацию можно прочитать на сайте securityfocus.com.

Эта уязвимость проходит под номером CVE-2008-0239. Дата назначения CVE — 11.01.2008. Атаку можно провести дистанционно. Техническая информация предоставлена. Уровень популярности этой уязвимости ниже среднего значения. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Проект MITRE ATT&CK определяет технику атаки как T1059.007.

Это объявлено как Доказательство концепции. Эксплойт опубликован для скачивания на securityfocus.com. Уязвимость рассматривалась как непубличный эксплойт нулевого дня в течение как минимум 214 дней. Мы ожидаем, что 0-день стоил приблизительно $5k-$25k. Сканер уязвимостей Nessus содержит плагин с ID 29926. Это относится к семейству CGI abuses : XSS. Этот плагин выполняется в контексте типа r.

Рекомендуется провести обновление затронутого компонента. Потенциальная мера по устранению была доступна спустя 3 дни после публикации информации об уязвимости.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 27214), X-Force (39582), Secunia (SA28356), SecurityTracker (ID 1019175) и Vulnerability Center (SBV-17351).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Поддержка

  • end of life (old version)

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 3.9

VulDB Базовый балл: 4.3
VulDB Временная оценка: 3.9
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 29926
Nessus Имя: Sun Java System Identity Manager Multiple XSS
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

Exploit-DB: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Fortigate IPS: 🔍

ХронологияИнформация

11.06.2007 🔍
09.01.2008 +212 дни 🔍
09.01.2008 +0 дни 🔍
10.01.2008 +1 дни 🔍
11.01.2008 +1 дни 🔍
11.01.2008 +0 дни 🔍
11.01.2008 +0 дни 🔍
11.01.2008 +0 дни 🔍
14.01.2008 +3 дни 🔍
15.01.2008 +1 дни 🔍
16.03.2015 +2617 дни 🔍
18.12.2024 +3565 дни 🔍

ИсточникиИнформация

Поставщик: oracle.com

Консультация: securityfocus.com
Исследователь: Adrian Pastor
Организация: ProCheckUp
Статус: Подтверждённый

CVE: CVE-2008-0239 (🔍)
GCVE (CVE): GCVE-0-2008-0239
GCVE (VulDB): GCVE-100-40498
X-Force: 39582
SecurityFocus: 27214 - Sun Java System Identity Manager Multiple Input Validation Vulnerabilities
Secunia: 28356
OSVDB: 40749 - Sun Java System Identity Manager /idm/account/findForSelect.jsp resultsForm Parameter XSS
SecurityTracker: 1019175
Vulnerability Center: 17351 - Sun Java System Identity Manager Vulnerability Allows Multiple Cross-Site Scripting (XSS) Attacks, Medium
Vupen: ADV-2008-0089

scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍

ВходИнформация

Создано: 16.03.2015 13:43
Обновлено: 18.12.2024 11:17
Изменения: 16.03.2015 13:43 (77), 03.08.2019 15:32 (12), 18.12.2024 11:17 (17)
Завершенный: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!