Lädt...

🕵️ WSO2 SOA Enablement Server for Java bis 6.6 PATH_INFO Cross Site Scripting


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine Schwachstelle in WSO2 SOA Enablement Server for Java bis 6.6 entdeckt. Sie wurde als problematisch eingestuft. Es geht dabei um eine unbekannte Funktion. Mittels dem Manipulieren des Arguments PATH_INFO mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf die Integrität.

Die Schwachstelle wurde am 17.02.2017 durch Jakub Pataczynski and Lukasz Juszczyk in Form eines Postings (Bugtraq) publiziert. Das Advisory kann von securityfocus.com heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 27.04.2016 mit CVE-2016-4327 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 02/17/2017). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft fallend verhalten werden.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 85893) dokumentiert.

CVSSv3

Base Score: 3.5
Temp Score: 3.5
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:X/RC:X
Zuverlässigkeit: Medium

CVSSv2

Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N)
Temp Score: 3.5 (CVSS2#E:ND/RL:ND/RC:ND)
Zuverlässigkeit: Medium

CPE

Exploiting

Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

27.04.2016 CVE zugewiesen
17.05.2016 SecurityFocus Eintrag zugewiesen
17.02.2017 Advisory veröffentlicht
17.02.2017 VulDB Eintrag erstellt
17.02.2017 VulDB letzte Aktualisierung

Quellen

Advisory: securityfocus.com
Person: Jakub Pataczynski and Lukasz Juszczyk

CVE: CVE-2016-4327 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 85893 - WSO2 SOA Enablement Server for Java CVE-2016-4327 Cross Site Scripting Vulnerability

Eintrag

Erstellt: 17.02.2017
Eintrag: 72% komplett
...

matomo