Tenable Nessus до 5.x/6.5.4 Host Details межсайтовый скриптинг
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.2 | $0-$5k | 0.00 |
Сводка
Обнаружена уязвимость, классифицированная как критический, в Tenable Nessus до 5.x/6.5.4. Затронута неизвестная функция компонента Host Details. Манипуляция приводит к межсайтовый скриптинг. Данная уязвимость известна под идентификатором CVE-2016-82000. Атаку можно инициировать удаленно. Также существует доступный эксплойт. Уязвимость имеет историческое воздействие благодаря своему фону и восприятию. Рекомендуется провести обновление затронутого компонента.
Подробности
Обнаружена уязвимость, классифицированная как критический, в Tenable Nessus до 5.x/6.5.4. Затронута неизвестная функция компонента Host Details. Манипуляция приводит к межсайтовый скриптинг. Использование классификатора CWE для обозначения проблемы ведет к CWE-80. Слабость была опубликована 15.02.2016 под идентификатором TNS-2016-02 как Консультация (Веб-сайт). Консультацию можно прочитать на сайте tenable.com.
Данная уязвимость известна под идентификатором CVE-2016-82000. Атаку можно инициировать удаленно. Техническая информация не предоставлена. Сложность атаки довольно высокая. Эксплуатация представляется сложной. Популярность этой уязвимости выше среднего. Также существует доступный эксплойт. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. Проект MITRE ATT&CK определяет технику атаки как T1059.007. Уязвимость имеет историческое воздействие благодаря своему фону и восприятию.
Присвоено значение функциональный. В статусе 0-day примерная стоимость на черном рынке была около $5k-$25k. Сканер Nessus предлагает плагин с идентификатором 88904. Он относится к семейству CGI abuses : XSS. Плагин запущен в контексте типа r.
Обновление до версии 6.5.5 позволяет устранить данную проблему. Обновление можно загрузить с сайта support.tenable.com. Рекомендуется провести обновление затронутого компонента.
Эта уязвимость также документирована в других базах данных уязвимостей: SecurityTracker (ID 1035044) и Tenable (88904).
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 3.4VulDB Meta Temp Score: 3.2
VulDB Базовый балл: 3.4
VulDB Временная оценка: 3.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: межсайтовый скриптингCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: частный
Статус: функциональный
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 88904
Nessus Имя: Tenable Nessus < 6.5.5 Host Details Scan Results XSS
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍
OpenVAS ID: 66215
OpenVAS Имя: Tenable Nessus Multiple Vulnerabilities Feb16
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Обновление: Nessus 6.5.5
Хронология
15.02.2016 🔍15.02.2016 🔍
18.02.2016 🔍
19.02.2016 🔍
22.02.2016 🔍
03.08.2018 🔍
Источники
Консультация: TNS-2016-02Статус: Подтверждённый
CVE: CVE-2016-82000 (🔍)
GCVE (CVE): GCVE-0-2016-82000
GCVE (VulDB): GCVE-100-81026
SecurityTracker: 1035044
scip Labs: https://www.scip.ch/en/?labs.20091204
Смотрите также: 🔍
Вход
Создано: 19.02.2016 10:18Обновлено: 03.08.2018 06:40
Изменения: 19.02.2016 10:18 (48), 03.08.2018 06:40 (16)
Завершенный: 🔍
Cache ID: 216:730:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.