Apache HTTP Server перед 0.10.22.6 mod_pagespeed межсайтовый скриптинг
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Сводка
В Apache HTTP Server была найдена уязвимость, классифицированная как проблематичный. Поражена неизвестная функция компонента mod_pagespeed. Осуществление манипуляции приводит к межсайтовый скриптинг. Эта уязвимость обрабатывается как CVE-2012-4360. Атаку можно инициировать удаленно. Кроме того, имеется доступный эксплойт. Рекомендуется произвести апгрейд соответствующего компонента.
Подробности
В Apache HTTP Server была найдена уязвимость, классифицированная как проблематичный. Поражена неизвестная функция компонента mod_pagespeed. Осуществление манипуляции приводит к межсайтовый скриптинг. Декларирование проблемы с помощью CWE приводит к CWE-79. Информация о слабости была опубликована 12.09.2012 под номером announce-0.10.22.6 как Posting (Веб-сайт). Документ доступен для загрузки по адресу developers.google.com. Публичная публикация была согласована с вендором.
Эта уязвимость обрабатывается как CVE-2012-4360. CVE был назначен 20.08.2012. Атаку можно инициировать удаленно. Техническая информация отсутствует. Уровень популярности этой уязвимости ниже среднего значения. Кроме того, имеется доступный эксплойт. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. Техника атаки по классификации MITRE ATT&CK: T1059.007.
Присвоено значение Высокофункциональный. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $5k-$25k. Сканер Nessus предлагает плагин с идентификатором 62068. Он относится к семейству FreeBSD Local Security Checks.
Обновление до версии 0.10.22.6 позволяет устранить данную проблему. Рекомендуется произвести апгрейд соответствующего компонента.
Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 55536), X-Force (78563), Secunia (SA50591), Vulnerability Center (SBV-36152) и Tenable (62068).
Продукт
Тип
Поставщик
Имя
Лицензия
Веб-сайт
- Поставщик: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Базовый балл: 6.3
VulDB Временная оценка: 6.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: межсайтовый скриптингCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Статус: Высокофункциональный
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 62068
Nessus Имя: FreeBSD : mod_pagespeed -- multiple vulnerabilities (178ba4ea-fd40-11e1-b2ae-001fd0af1a4c)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
OpenVAS ID: 72198
OpenVAS Имя: FreeBSD Ports: mod_pagespeed
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Обновление: HTTP Server 0.10.22.6
Firewalling: 🔍
Хронология
20.08.2012 🔍12.09.2012 🔍
12.09.2012 🔍
12.09.2012 🔍
13.09.2012 🔍
14.09.2012 🔍
15.09.2012 🔍
15.09.2012 🔍
18.09.2012 🔍
19.09.2012 🔍
13.04.2021 🔍
Источники
Поставщик: apache.orgКонсультация: announce-0.10.22.6
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍
CVE: CVE-2012-4360 (🔍)
GCVE (CVE): GCVE-0-2012-4360
GCVE (VulDB): GCVE-100-6301
X-Force: 78563 - Apache mod_pagespeed module unspecified cross-site scripting, Medium Risk
SecurityFocus: 55536 - Apache 'mod_pagespeed' Module Cross Site Scripting and Security Bypass Vulnerabilities
Secunia: 50591 - Apache mod_pagespeed Module Two Vulnerabilities, Less Critical
OSVDB: 85430
Vulnerability Center: 36152 - The Mod_Pagespeed Module 0.10.19.1 Through 0.10.22.4 for Apache HTTP Server XSS Vulnerability, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍
Вход
Создано: 18.09.2012 12:12Обновлено: 13.04.2021 07:48
Изменения: 18.09.2012 12:12 (78), 16.04.2019 15:11 (9), 13.04.2021 07:48 (2)
Завершенный: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.