📚 Secure Data Space SDS-API bis 3.5.6 Cross Site Scripting [CVE-2015-7706]
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80176
Betroffen: Secure Data Space SDS-API bis 3.5.6
Veröffentlicht: 11.01.2016
Risiko: problematisch
Erstellt: 12.01.2016
Eintrag: 65.7% komplett
Beschreibung
In Secure Data Space SDS-API bis 3.5.6 wurde eine problematische Schwachstelle gefunden. Das betrifft eine unbekannte Funktion. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Integrität. CVE fasst zusammen:
Multiple cross-site scripting (XSS) vulnerabilities in Secure Data Space SDS-API before 3.5.7 allow remote attackers to inject arbitrary web script or HTML via the (1) PATH_INFO to api/v3/public/shares/downloads/, the (2) authType parameter to api/v3/auth/login, or the (3) login parameter to api/v3/auth/reset_password.
Die Schwachstelle wurde am 11.01.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2015-7706 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 3.5.7 vermag dieses Problem zu beheben.CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:secure_data_space:sds-api:3.5.0
- cpe:/a:secure_data_space:sds-api:3.5.1
- cpe:/a:secure_data_space:sds-api:3.5.2
- cpe:/a:secure_data_space:sds-api:3.5.3
- cpe:/a:secure_data_space:sds-api:3.5.4
- cpe:/a:secure_data_space:sds-api:3.5.5
- cpe:/a:secure_data_space:sds-api:3.5.6
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: SDS-API 3.5.7
Timeline
11.01.2016 | Advisory veröffentlicht
12.01.2016 | VulDB Eintrag erstellt
12.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7706 (mitre.org) (nvd.nist.org) (cvedetails.com)
...