📚 TYPO3 bis 7.2.9 payment.php paymillToken Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in TYPO3 bis 7.2.9 ausgemacht. Dies betrifft eine unbekannte Funktion der Datei caddy/Resources/Public/JavaScript/e-payment/paymill/api/php/payment.php. Dank Manipulation des Arguments paymillToken
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Integrität.
Die Schwachstelle wurde am 12.02.2017 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2017-5963 statt. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 02/12/2017).
Ein Upgrade auf die Version 7.2.10 vermag dieses Problem zu beheben.
Schwachstellen ähnlicher Art sind dokumentiert unter 96811.
CVSSv3
Base Score: 3.5Temp Score: 3.4
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:X
Zuverlässigkeit: Medium
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N)Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Medium
CPE
- cpe:/a:typo3:typo3:7.2.0
- cpe:/a:typo3:typo3:7.2.1
- cpe:/a:typo3:typo3:7.2.2
- cpe:/a:typo3:typo3:7.2.3
- cpe:/a:typo3:typo3:7.2.4
- cpe:/a:typo3:typo3:7.2.5
- cpe:/a:typo3:typo3:7.2.6
- cpe:/a:typo3:typo3:7.2.7
- cpe:/a:typo3:typo3:7.2.8
- cpe:/a:typo3:typo3:7.2.9
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: TYPO3 7.2.10
Timeline
12.02.2017 Advisory veröffentlicht12.02.2017 VulDB Eintrag erstellt
12.02.2017 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2017-5963 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 96811
Eintrag
Erstellt: 12.02.2017Eintrag: 70% komplett
...