๐ Apache OpenMeetings bis 3.1.0 Event Handler Description Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 82080
Betroffen: Apache OpenMeetings bis 3.1.0
Veröffentlicht: 11.04.2016
Risiko: problematisch
Erstellt: 12.04.2016
Eintrag: 66.8% komplett
Beschreibung
Es wurde eine problematische Schwachstelle in Apache OpenMeetings bis 3.1.0 entdeckt. Es betrifft eine unbekannte Funktion der Komponente Event Handler. Durch das Beeinflussen des Arguments Description
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Integrität. CVE fasst zusammen:
Cross-site scripting (XSS) vulnerability in Apache OpenMeetings before 3.1.1 allows remote attackers to inject arbitrary web script or HTML via the event description when creating an event.
Die Schwachstelle wurde am 11.04.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-2163 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 3.1.1 vermag dieses Problem zu beheben. Schwachstellen ähnlicher Art sind dokumentiert unter 82077, 82078 und 82081.CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: OpenMeetings 3.1.1
Timeline
11.04.2016 | Advisory veröffentlicht
12.04.2016 | VulDB Eintrag erstellt
12.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-2163 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 82077, 82078 , 82081
...