๐ Symphony CMS 2.6.3 1 Name/Navigation Group/Label Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80146
Betroffen: Symphony CMS 2.6.3
Veröffentlicht: 08.01.2016
Risiko: problematisch
Erstellt: 10.01.2016
Aktualisiert: 11.01.2016
Eintrag: 65.2% komplett
Beschreibung
In Symphony CMS 2.6.3 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktion der Datei blueprints/sections/edit/1. Dank der Manipulation des Arguments Name/Navigation Group/Label
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
Multiple cross-site scripting (XSS) vulnerabilities in Symphony CMS 2.6.3 allow remote attackers to inject arbitrary web script or HTML via the (1) Name, (2) Navigation Group, or (3) Label parameter to blueprints/sections/edit/1.
Die Schwachstelle wurde am 08.01.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2015-8376 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
08.01.2016 | Advisory veröffentlicht
10.01.2016 | VulDB Eintrag erstellt
11.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-8376 (mitre.org) (nvd.nist.org) (cvedetails.com)
...