📚 EMC ViPR SRM bis 4.0.0 Stored Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In EMC ViPR SRM bis 4.0.0 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Hierbei betrifft es eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Das hat Auswirkungen auf die Integrität.
Die Schwachstelle wurde am 27.09.2016 durch Eric Flokstra als ESA-2016-127 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter seclists.org. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-6647 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $1k-$2k kostet. Das Advisory weist darauf hin:
EMC ViPR SRM is affected by a stored cross-site scripting vulnerability. Attackers could potentially exploit this vulnerability to execute arbitrary HTML or JavaScript code in the user?s browser session in the context of the affected ViPR SRM application.
Ein Upgrade auf die Version 4.0.1 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. EMC hat offensichtlich sofort reagiert.
Zusätzliche Informationen finden sich unter seclists.org.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: ViPR SRM 4.0.1
Timeline
27.09.2016 Advisory veröffentlicht27.09.2016 Gegenmassnahme veröffentlicht
28.09.2016 VulDB Eintrag erstellt
28.09.2016 VulDB letzte Aktualisierung
Quellen
Advisory: ESA-2016-127Person: Eric Flokstra
Status: Bestätigt
Koordiniert: Ja
CVE: CVE-2016-6647 (mitre.org) (nvd.nist.org) (cvedetails.com)
Diverses: seclists.org
Eintrag
Erstellt: 28.09.2016Eintrag: 76.3% komplett
...