📚 Serimux SSH Console Switch 2.4 syslog.asp Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Serimux SSH Console Switch 2.4 wurde eine problematische Schwachstelle ausgemacht. Hierbei betrifft es eine unbekannte Funktion der Datei syslog.asp. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität.
Die Schwachstelle wurde am 04.10.2016 durch Benjamin Kunz Mejri als VL-ID 1942 in Form eines ungeprüften Advisories (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter vulnerability-lab.com. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Benjamin Kunz Mejri programmiert und direkt nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Unter vulnerability-lab.com wird der Exploit zur Verfügung gestellt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Von weiterem Interesse können die folgenden Einträge sein: 92417, 92418, 92420 und 92421.
CVSSv3
Base Score: 4.3 [?]Temp Score: 3.9 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:U/RC:R [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N) [?]Temp Score: 3.7 (CVSS2#E:POC/RL:U/RC:UR) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Benjamin Kunz Mejri
Download: vulnerability-lab.com
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: Nicht verfügbar
0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
04.10.2016 Advisory veröffentlicht04.10.2016 Exploit veröffentlicht
05.10.2016 VulDB Eintrag erstellt
05.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: VL-ID 1942Person: Benjamin Kunz Mejri
Status: Ungeprüft
Siehe auch: 92417, 92418, 92420, 92421
Eintrag
Erstellt: 05.10.2016Eintrag: 75.8% komplett
...