VDB-243641 · Gửi #224898 · CVE-2023-5810

flusity CMS core/tools/posts.php loadPostAddForm edit_post_id Tập lệnh chéo trang

CVSS Điểm tạm thời meta	Giá khai thác hiện tại (≈)	Điểm quan tâm CTI
3.1	$0-$5k	0.00

Tóm tắtthông tin

Một lỗ hổng được phân loại là Có vấn đề đã được phát hiện trong flusity CMS. Trường hợp bị ảnh hưởng là hàm loadPostAddForm của tệp core/tools/posts.php. Việc thao tác đối với tham số edit_post_id dẫn đến Tập lệnh chéo trang. Lỗ hổng này được định danh là CVE-2023-5810. Có khả năng tiến hành cuộc tấn công từ xa. Bên cạnh đó, mã khai thác đã được phát hành. Sản phẩm này sử dụng mô hình phát hành liên tục (rolling release) để cung cấp cập nhật liên tục. Do đó, không có thông tin về phiên bản bị ảnh hưởng hoặc phiên bản đã được cập nhật. Đề xuất cài đặt bản vá để sửa lỗi này.

Chi tiếtthông tin

Một lỗ hổng được phân loại là Có vấn đề đã được phát hiện trong flusity CMS. Trường hợp bị ảnh hưởng là hàm loadPostAddForm của tệp core/tools/posts.php. Việc thao tác đối với tham số edit_post_id dẫn đến Tập lệnh chéo trang. Việc sử dụng CWE để khai báo vấn đề dẫn đến CWE-79. Lỗ hổng đã được công bố vào 26/10/2023. Khuyến nghị này được chia sẻ để tải xuống tại github.com.

Lỗ hổng này được định danh là CVE-2023-5810. Có khả năng tiến hành cuộc tấn công từ xa. Thông tin kỹ thuật đã có sẵn. Lỗ hổng này có mức độ phổ biến thấp hơn trung bình. Bên cạnh đó, mã khai thác đã được phát hành. Thông tin về khai thác đã được công bố rộng rãi và có khả năng bị lợi dụng. Giá hiện tại cho một exploit có thể khoảng USD $0-$5k vào thời điểm này. Dự án MITRE ATT&CK xác định kỹ thuật tấn công là T1059.007.

Nếu tồn tại độ dài, thì nó được xác định là bằng chứng khái niệm. Bạn có thể tải về mã khai thác tại github.com. Giá bán trên thị trường ngầm cho 0-day này được ước tính vào khoảng $0-$5k.

Sản phẩm này sử dụng mô hình phát hành liên tục (rolling release) để cung cấp cập nhật liên tục. Do đó, không có thông tin về phiên bản bị ảnh hưởng hoặc phiên bản đã được cập nhật. Bản vá có tên là 6943991c62ed87c7a57989a0cb7077316127def8. Bản sửa lỗi hiện đã có thể tải về tại github.com. Đề xuất cài đặt bản vá để sửa lỗi này.

Sản phẩmthông tin

Loại

Content Management System

Nhà cung cấp

flusity

Tên

Giấy phép

mã nguồn mở

CPE 2.3thông tin

CPE 2.2thông tin

CVSSv4thông tin

VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

CVSSv3thông tin

VulDB Điểm cơ sở meta: 3.2
VulDB Điểm tạm thời meta: 3.1

VulDB Điểm cơ sở: 2.4
VulDB Điểm tạm thời: 2.2
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

NVD Điểm cơ sở: 4.8
NVD Vector: 🔍

CNA Điểm cơ sở: 2.4
CNA Vector (VulDB): 🔍

CVSSv2thông tin

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Véc-tơ	Độ phức tạp	Xác thực	Bí mật	Toàn vẹn	Khả dụng
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa

VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍

NVD Điểm cơ sở: 🔍

Khai thácthông tin

Lớp: Tập lệnh chéo trang
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Vật lý: Không
Cục bộ: Không
Từ xa: Có

Khả dụng: 🔍
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Tải xuống: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍

0-Day	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Hôm nay	Mở khóa	Mở khóa	Mở khóa	Mở khóa

Tình báo mối đe dọathông tin

Sự quan tâm: 🔍
Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍

Biện pháp đối phóthông tin

Khuyến nghị: Bản vá
Trạng thái: 🔍

Thời gian 0-ngày: 🔍

Bản vá: 6943991c62ed87c7a57989a0cb7077316127def8

dòng thời gianthông tin

26/10/2023 🔍
26/10/2023 +0 ngày 🔍
26/10/2023 +0 ngày 🔍
18/11/2023 +23 ngày 🔍

Nguồnthông tin

Khuyến cáo: 6943991c62ed87c7a57989a0cb7077316127def8
Trạng thái: Đã xác nhận

CVE: CVE-2023-5810 (🔍)
GCVE (CVE): GCVE-0-2023-5810
GCVE (VulDB): GCVE-100-243641
scip Labs: https://www.scip.ch/en/?labs.20161013

mụcthông tin

Được tạo: 26/10/2023 20:19
Đã cập nhật: 18/11/2023 17:29
Thay đổi: 26/10/2023 20:19 (46), 18/11/2023 17:21 (3), 18/11/2023 17:29 (28)
Hoàn chỉnh: 🔍
Người gửi: zihe
Cache ID: 216::103