๐ QNAP bis 4.1.x Cross Site Scripting [CVE-2015-5664]
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Es wurde eine Schwachstelle in QNAP bis 4.1.x gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um eine unbekannte Funktion. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Integrität.
Die Schwachstelle wurde am 17.06.2016 als NAS-201606-17 in Form eines bestätigten Bulletins (Website) publik gemacht. Das Advisory kann von qnap.com heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird unter CVE-2015-5664 geführt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 4.2.1 Build 20160601 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben unmittelbar reagiert.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1036123) dokumentiert.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: QNAP 4.2.1 Build 20160601
Timeline
17.06.2016 Advisory veröffentlicht17.06.2016 Gegenmassnahme veröffentlicht
17.06.2016 SecurityTracker Eintrag erstellt
18.06.2016 VulDB Eintrag erstellt
18.06.2016 VulDB Eintrag aktualisiert
Quellen
Advisory: NAS-201606-17Status: Bestätigt
Koordiniert: Ja
CVE: CVE-2015-5664 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1036123 - QNAP Storage Devices Input Validation Flaws Let Remote Conduct Cross-Site Scripting Attacks
Eintrag
Erstellt: 18.06.2016Eintrag: 75.8% komplett
...