📚 Nextcloud Server bis 9.0.51 Gallery share.js Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Nextcloud Server bis 9.0.51 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Datei share.js der Komponente Gallery. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf die Integrität.
Die Schwachstelle wurde am 17.09.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-7419 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Ein Aktualisieren auf die Version 9.0.52 vermag dieses Problem zu lösen.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 91671.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:nextcloud:server:9.0.0
- cpe:/a:nextcloud:server:9.0.1
- cpe:/a:nextcloud:server:9.0.2
- cpe:/a:nextcloud:server:9.0.3
- cpe:/a:nextcloud:server:9.0.4
- cpe:/a:nextcloud:server:9.0.5
- cpe:/a:nextcloud:server:9.0.6
- cpe:/a:nextcloud:server:9.0.7
- cpe:/a:nextcloud:server:9.0.8
- cpe:/a:nextcloud:server:9.0.9
- cpe:/a:nextcloud:server:9.0.10
- cpe:/a:nextcloud:server:9.0.11
- cpe:/a:nextcloud:server:9.0.12
- cpe:/a:nextcloud:server:9.0.13
- cpe:/a:nextcloud:server:9.0.14
- cpe:/a:nextcloud:server:9.0.15
- cpe:/a:nextcloud:server:9.0.16
- cpe:/a:nextcloud:server:9.0.17
- cpe:/a:nextcloud:server:9.0.18
- cpe:/a:nextcloud:server:9.0.19
- cpe:/a:nextcloud:server:9.0.20
- cpe:/a:nextcloud:server:9.0.21
- cpe:/a:nextcloud:server:9.0.22
- cpe:/a:nextcloud:server:9.0.23
- cpe:/a:nextcloud:server:9.0.24
- cpe:/a:nextcloud:server:9.0.25
- cpe:/a:nextcloud:server:9.0.26
- cpe:/a:nextcloud:server:9.0.27
- cpe:/a:nextcloud:server:9.0.28
- cpe:/a:nextcloud:server:9.0.29
- cpe:/a:nextcloud:server:9.0.30
- cpe:/a:nextcloud:server:9.0.31
- cpe:/a:nextcloud:server:9.0.32
- cpe:/a:nextcloud:server:9.0.33
- cpe:/a:nextcloud:server:9.0.34
- cpe:/a:nextcloud:server:9.0.35
- cpe:/a:nextcloud:server:9.0.36
- cpe:/a:nextcloud:server:9.0.37
- cpe:/a:nextcloud:server:9.0.38
- cpe:/a:nextcloud:server:9.0.39
- cpe:/a:nextcloud:server:9.0.40
- cpe:/a:nextcloud:server:9.0.41
- cpe:/a:nextcloud:server:9.0.42
- cpe:/a:nextcloud:server:9.0.43
- cpe:/a:nextcloud:server:9.0.44
- cpe:/a:nextcloud:server:9.0.45
- cpe:/a:nextcloud:server:9.0.46
- cpe:/a:nextcloud:server:9.0.47
- cpe:/a:nextcloud:server:9.0.48
- cpe:/a:nextcloud:server:9.0.49
- cpe:/a:nextcloud:server:9.0.50
- cpe:/a:nextcloud:server:9.0.51
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Server 9.0.52
Timeline
17.09.2016 Advisory veröffentlicht18.09.2016 VulDB Eintrag erstellt
18.09.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-7419 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 91671
Eintrag
Erstellt: 18.09.2016Eintrag: 71.7% komplett
...