Plupload до 2.1.1 на WordPress plupload.flash.swf target межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
4.1$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в Plupload до 2.1.1. Она была оценена как проблематичный. Вовлечена неизвестная функция файла plupload.flash.swf. Манипуляция аргументом target приводит к межсайтовый скриптинг. Эта уязвимость обозначается как CVE-2015-3439. Атаку можно осуществить удаленно. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.

ПодробностиИнформация

Уязвимость была найдена в Plupload до 2.1.1. Она была оценена как проблематичный. Вовлечена неизвестная функция файла plupload.flash.swf. Манипуляция аргументом target приводит к межсайтовый скриптинг. Использование CWE для описания проблемы приводит к CWE-79. Слабость была опубликована 05.08.2015 специалистом Michael Kapfer (Basti) (Веб-сайт). Документ доступен для загрузки по адресу codex.wordpress.org.

Эта уязвимость обозначается как CVE-2015-3439. CVE был назначен 28.04.2015. Атаку можно осуществить удаленно. Доступна техническая информация. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Техника атаки по классификации MITRE ATT&CK: T1059.007.

Объявляется Не определено. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. В сканере Nessus имеется плагин с ID 83918. Он отнесён к семейству Debian Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 11505 (WordPress Prior to 4.1.2 Multiple Security Vulnerabilities).

Обновление до 2.1.2 может устранить эту уязвимость. Рекомендуется произвести апгрейд соответствующего компонента.

Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 74269), Vulnerability Center (SBV-51801) и Tenable (83918).

ПродуктИнформация

Тип

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.1

VulDB Базовый балл: 4.3
VulDB Временная оценка: 4.1
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 83918
Nessus Имя: Debian DLA-236-1 : wordpress security update
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍

OpenVAS ID: 703250
OpenVAS Имя: Debian Security Advisory DSA 3250-1 (wordpress - security update)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: Plupload 2.1.2

ХронологияИнформация

21.04.2015 🔍
28.04.2015 +7 дни 🔍
05.08.2015 +99 дни 🔍
05.08.2015 +0 дни 🔍
05.08.2015 +0 дни 🔍
06.08.2015 +1 дни 🔍
09.08.2015 +3 дни 🔍
07.06.2022 +2494 дни 🔍

ИсточникиИнформация

Консультация: 32168
Исследователь: Michael Kapfer (Basti)
Статус: Не определено
Подтверждение: 🔍

CVE: CVE-2015-3439 (🔍)
GCVE (CVE): GCVE-0-2015-3439
GCVE (VulDB): GCVE-100-76925

OVAL: 🔍

SecurityFocus: 74269 - WordPress Multiple Security Vulnerabilities
SecurityTracker: 1032207
Vulnerability Center: 51801 - WordPress Ephox Plugin Remote XSS Related to _init.as and _fireEvent.as, Medium

Смотрите также: 🔍

ВходИнформация

Создано: 06.08.2015 09:58
Обновлено: 07.06.2022 11:53
Изменения: 06.08.2015 09:58 (62), 01.10.2017 20:22 (13), 07.06.2022 11:45 (4), 07.06.2022 11:53 (1)
Завершенный: 🔍
Cache ID: 216:9C0:103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!