800+ IT
News
als RSS Feed abonnieren📚 Red Hat Spacewalk 5.7 Web UI SystemEntitlements.do Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 82397
Betroffen: Red Hat Spacewalk 5.7
Veröffentlicht: 14.04.2016
Risiko: problematisch
Erstellt: 15.04.2016
Eintrag: 65.2% komplett
Beschreibung
Eine Schwachstelle wurde in Red Hat Spacewalk 5.7 entdeckt. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Funktion der Datei systems/SystemEntitlements.do der Komponente Web UI. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf die Integrität. Die Zusammenfassung von CVE lautet:
Multiple cross-site scripting (XSS) vulnerabilities in the Web UI in Spacewalk and Red Hat Satellite 5.7 allow remote attackers to inject arbitrary web script or HTML via (1) the PATH_INFO to systems/SystemEntitlements.do; (2) the label parameter to admin/multiorg/EntitlementDetails.do; or the name of a (3) snapshot tag or (4) system group in System Set Manager (SSM).
Die Schwachstelle wurde am 14.04.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-3079 gehandelt. Sie gilt als leicht auszunutzen. Umgesetzt werden kann der Angriff über das Netzwerk. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
14.04.2016 | Advisory veröffentlicht
15.04.2016 | VulDB Eintrag erstellt
15.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-3079 (mitre.org) (nvd.nist.org) (cvedetails.com)
...