๐ Tenable Nessus bis 6.7.0 Stored Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Es wurde eine Schwachstelle in Tenable Nessus ausgemacht. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität.
Die Schwachstelle wurde am 19.07.2016 als TNS-2016-11 / 138680 / 5218 in Form eines bestätigten Security Advisories (Website) publiziert. Das Advisory kann von tenable.com heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-1000029 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 92465 herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Aktualisieren auf die Version 6.8 vermag dieses Problem zu lösen. Eine neue Version kann von support.tenable.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Tenable hat nachweislich sofort gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 90193, 90194 und 90196.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
- cpe:/a:tenable:nessus:6.0.0
- cpe:/a:tenable:nessus:6.0.1
- cpe:/a:tenable:nessus:6.0.2
- cpe:/a:tenable:nessus:6.1.0
- cpe:/a:tenable:nessus:6.1.1
- cpe:/a:tenable:nessus:6.1.2
- cpe:/a:tenable:nessus:6.2.0
- cpe:/a:tenable:nessus:6.2.1
- cpe:/a:tenable:nessus:6.3.0
- cpe:/a:tenable:nessus:6.3.1
- cpe:/a:tenable:nessus:6.3.2
- cpe:/a:tenable:nessus:6.3.3
- cpe:/a:tenable:nessus:6.3.4
- cpe:/a:tenable:nessus:6.3.5
- cpe:/a:tenable:nessus:6.3.6
- cpe:/a:tenable:nessus:6.3.7
- cpe:/a:tenable:nessus:6.4.0
- cpe:/a:tenable:nessus:6.4.1
- cpe:/a:tenable:nessus:6.4.2
- cpe:/a:tenable:nessus:6.4.3
- cpe:/a:tenable:nessus:6.5.0
- cpe:/a:tenable:nessus:6.5.1
- cpe:/a:tenable:nessus:6.5.2
- cpe:/a:tenable:nessus:6.5.3
- cpe:/a:tenable:nessus:6.5.4
- cpe:/a:tenable:nessus:6.5.5
- cpe:/a:tenable:nessus:6.5.6
- cpe:/a:tenable:nessus:6.6.0
- cpe:/a:tenable:nessus:6.6.1
- cpe:/a:tenable:nessus:6.6.2
- cpe:/a:tenable:nessus:6.7.0
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Nessus ID: 92465
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Nessus 6.8
Timeline
19.07.2016 Advisory veröffentlicht19.07.2016 Gegenmassnahme veröffentlicht
22.07.2016 VulDB Eintrag erstellt
22.07.2016 VulDB Eintrag aktualisiert
Quellen
Advisory: TNS-2016-11 / 138680 / 5218Status: Bestätigt
CVE: CVE-2016-1000029 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 90193, 90194 , 90196
Eintrag
Erstellt: 22.07.2016Eintrag: 76.3% komplett
...