📚 BigTree CMS bis 4.2.14 check-module-integrity.php id Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in BigTree CMS bis 4.2.14 entdeckt. Davon betroffen ist eine unbekannte Funktion der Datei core/admin/adjax/dashboard/check-module-integrity.php. Durch das Manipulieren des Arguments id
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für die Integrität.
Die Schwachstelle wurde am 14.02.2017 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 12.02.2017 als CVE-2016-10223 statt. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Ein Upgrade auf die Version 4.2.15 vermag dieses Problem zu beheben.
CVSSv3
Base Score: 3.5Temp Score: 3.4
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:X
Zuverlässigkeit: Medium
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N)Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Medium
CPE
- cpe:/a:bigtree:cms:4.2.0
- cpe:/a:bigtree:cms:4.2.1
- cpe:/a:bigtree:cms:4.2.2
- cpe:/a:bigtree:cms:4.2.3
- cpe:/a:bigtree:cms:4.2.4
- cpe:/a:bigtree:cms:4.2.5
- cpe:/a:bigtree:cms:4.2.6
- cpe:/a:bigtree:cms:4.2.7
- cpe:/a:bigtree:cms:4.2.8
- cpe:/a:bigtree:cms:4.2.9
- cpe:/a:bigtree:cms:4.2.10
- cpe:/a:bigtree:cms:4.2.11
- cpe:/a:bigtree:cms:4.2.12
- cpe:/a:bigtree:cms:4.2.13
- cpe:/a:bigtree:cms:4.2.14
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: CMS 4.2.15
Timeline
12.02.2017 CVE zugewiesen14.02.2017 Advisory veröffentlicht
14.02.2017 VulDB Eintrag erstellt
14.02.2017 VulDB letzte Aktualisierung
Quellen
Advisory: github.comCVE: CVE-2016-10223 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 14.02.2017Eintrag: 70.8% komplett
...