| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.3 | $0-$5k | 0.00 |
Сводка
В cPanel была найдена уязвимость, классифицированная как проблематичный. Затронута неизвестная функция файла addhandle.html. Манипуляция аргументом handle приводит к межсайтовый скриптинг. Атаку можно инициировать удаленно. Более того, существует эксплойт.
Подробности
В cPanel была найдена уязвимость, классифицированная как проблематичный. Затронута неизвестная функция файла addhandle.html. Манипуляция аргументом handle приводит к межсайтовый скриптинг. Использование CWE для описания проблемы приводит к CWE-80. Слабость была опубликована 24.03.2004 специалистом Fable (Веб-сайт). Консультация доступна для загрузки на archives.neohapsis.com.
Атаку можно инициировать удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1059.007.
Присвоено значение Доказательство концепции. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k.
Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 9965) и X-Force (15517).
Продукт
Тип
Имя
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 3.5VulDB Meta Temp Score: 3.3
VulDB Базовый балл: 3.5
VulDB Временная оценка: 3.3
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: межсайтовый скриптингCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Статус: Доказательство концепции
Google Hack: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: о смягчении не известноСтатус: 🔍
0-дневное время: 🔍
Задержка эксплуатации: 🔍
Хронология
23.03.2004 🔍24.03.2004 🔍
24.03.2004 🔍
24.03.2004 🔍
11.04.2016 🔍
02.10.2018 🔍
Источники
Консультация: archives.neohapsis.comИсследователь: Fable
Статус: Не определено
GCVE (VulDB): GCVE-100-81971
X-Force: 15517
SecurityFocus: 9965 - CPanel Multiple Cross-Site Scripting Vulnerabilities
OSVDB: 4530 - cPanel addhandle.html handle Parameter XSS
scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍
Вход
Создано: 11.04.2016 16:42Обновлено: 02.10.2018 08:50
Изменения: 11.04.2016 16:42 (42), 02.10.2018 08:50 (6)
Завершенный: 🔍
Cache ID: 216:CAD:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.