🕵️ Drupal bis 8.1.9 HTTP Exception Handler Cross Site Scripting
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in Drupal bis 8.1.9 gefunden. Dies betrifft eine unbekannte Funktion der Komponente HTTP Exception Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf die Integrität.
Die Schwachstelle wurde am 03.10.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-7571 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 8.1.10 vermag dieses Problem zu lösen.
Von weiterem Interesse können die folgenden Einträge sein: 92326 und 92328.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:drupal:drupal:8.1.0
- cpe:/a:drupal:drupal:8.1.1
- cpe:/a:drupal:drupal:8.1.2
- cpe:/a:drupal:drupal:8.1.3
- cpe:/a:drupal:drupal:8.1.4
- cpe:/a:drupal:drupal:8.1.5
- cpe:/a:drupal:drupal:8.1.6
- cpe:/a:drupal:drupal:8.1.7
- cpe:/a:drupal:drupal:8.1.8
- cpe:/a:drupal:drupal:8.1.9
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Drupal 8.1.10
Timeline
03.10.2016 Advisory veröffentlicht04.10.2016 VulDB Eintrag erstellt
04.10.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-7571 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 92326, 92328
Eintrag
Erstellt: 04.10.2016Eintrag: 70.7% komplett
...