Cookie Consent by Free Privacy Policy Generator 📌 SPIP bis 3.1.2 valider_xml Cross Site Request Forgery

🏠 Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeiträge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden Überblick über die wichtigsten Aspekte der IT-Sicherheit in einer sich ständig verändernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch übersetzen, erst Englisch auswählen dann wieder Deutsch!

Google Android Playstore Download Button für Team IT Security



📚 SPIP bis 3.1.2 valider_xml Cross Site Request Forgery


💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine problematische Schwachstelle in SPIP bis 3.1.2 entdeckt. Hiervon betroffen ist eine unbekannte Funktion der Datei valider_xml. Dank Manipulation mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für die Integrität.

Am 15.09.2016 wurde das Problem entdeckt. Die Schwachstelle wurde am 12.10.2016 durch Nicolas Chatelain als SPIP 3.1.2 Exec Code Cross-Site Request Forgery in Form eines ungeprüften Mailinglist Posts (Full-Disclosure) publik gemacht. Das Advisory kann von seclists.org heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-7980 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Insgesamt wurde die Schwachstelle mindestens 15 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $1k-$2k auf dem Schwarzmarkt.

Ein Upgrade auf die Version 3.1.3 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Die Entwickler haben also vorab reagiert.

Die Einträge 93007 sind sehr ähnlich.

CVSSv3

Base Score: 4.3 [?]
Temp Score: 4.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:R [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:OF/RC:UR) [?]
Zuverlässigkeit: High

CPE

Exploiting

Klasse: Cross Site Request Forgery
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 4 Tage seit gemeldet
0-Day Time: 15 Tage seit gefunden

Upgrade: SPIP 3.1.3

Timeline

15.09.2016 Schwachstelle gefunden
26.09.2016 Hersteller informiert
27.09.2016 Hersteller bestätigt
30.09.2016 Gegenmassnahme veröffentlicht
12.10.2016 Advisory veröffentlicht
20.10.2016 VulDB Eintrag erstellt
20.10.2016 VulDB letzte Aktualisierung

Quellen

Advisory: SPIP 3.1.2 Exec Code Cross-Site Request Forgery
Person: Nicolas Chatelain
Status: Ungeprüft

CVE: CVE-2016-7980 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 93007

Eintrag

Erstellt: 20.10.2016
Eintrag: 75.8% komplett
...













📌 SPIP bis 3.1.2 valider_xml Cross Site Request Forgery


📈 64.72 Punkte

📌 SPIP bis 3.1.2 valider_xml is_dir Cross Site Request Forgery


📈 64.72 Punkte

📌 SPIP bis 3.1.2 valider_xml Cross Site Request Forgery


📈 64.72 Punkte

📌 SPIP bis 3.1.2 valider_xml is_dir Cross Site Request Forgery


📈 64.72 Punkte

📌 SPIP up to 3.1.2 valider_xml cross site request forgery


📈 61.31 Punkte

📌 SPIP up to 3.1.2 valider_xml is_dir cross site request forgery


📈 61.31 Punkte

📌 SPIP 3.1.2 valider_xml.php var_url Cross Site Scripting


📈 50.4 Punkte

📌 SPIP 3.1.2 valider_xml.php var_url Cross Site Scripting


📈 50.4 Punkte

📌 SPIP 3.1.1/3.1.2 valider_xml var_url Directory Traversal


📈 44.67 Punkte

📌 SPIP 3.1.1/3.1.2 valider_xml var_url Directory Traversal


📈 44.67 Punkte

📌 SPIP 3.1 Cookie /spip/ecrire/ exec privilege escalation


📈 34.54 Punkte

📌 Medium CVE-2019-16394: SPIP SPIP


📈 34.54 Punkte

📌 Medium CVE-2019-16393: SPIP SPIP


📈 34.54 Punkte

📌 Low CVE-2019-16392: SPIP SPIP


📈 34.54 Punkte

📌 Low CVE-2019-16391: SPIP SPIP


📈 34.54 Punkte

📌 SPIP 3.1 Cookie Handler /spip/ecrire/ exec erweiterte Rechte


📈 34.54 Punkte

📌 SPIP 3.1 Cookie Handler /spip/ecrire/ exec erweiterte Rechte


📈 34.54 Punkte

📌 SPIP 3.1.2 Cross Site Request Forgery


📈 33.91 Punkte

📌 [webapps] - SPIP 3.1.2 - Cross-Site Request Forgery


📈 33.91 Punkte

📌 SPIP 3.1.2 Cross Site Request Forgery


📈 33.91 Punkte

📌 [webapps] - SPIP 3.1.2 - Cross-Site Request Forgery


📈 33.91 Punkte

📌 SPIP 3.1.2 Server Side Request Forgery


📈 28.18 Punkte

📌 SPIP 3.1.2 Server Side Request Forgery


📈 28.18 Punkte

📌 CVE-2022-34815 | Request Rename Or Delete Plugin up to 1.1.0 on Jenkins Pending Request cross-site request forgery


📈 26.6 Punkte

📌 Umbraco bis 7.3.x Anti-Forgery templates.asmx.cs Cross Site Request Forgery


📈 25.97 Punkte

📌 Novell Filr bis 2.0 Security Update 1 vaconfig/time Request Handler Cross Site Request Forgery


📈 25.03 Punkte

📌 Novell Filr bis 2.0 Security Update 1 vaconfig/time Request Handler Cross Site Request Forgery


📈 25.03 Punkte

📌 Whizz Plugin bis 1.1.0 auf WordPress GET Request Cross Site Request Forgery


📈 25.03 Punkte

📌 Piwigo bis 2.9.1 Album Request Cross Site Request Forgery


📈 25.03 Punkte

📌 Piwigo bis 2.9.1 Permalink Request Cross Site Request Forgery


📈 25.03 Punkte

📌 Request Tracker bis 4.0.24/4.2.13/4.4.1 URL Cross Site Request Forgery


📈 25.03 Punkte

📌 D-Link DIR-615 bis 20.12 Web Interface Form2File.htm POST Request Cross Site Request Forgery


📈 25.03 Punkte

📌 JBoss KeyCloak bis 1.0.3 CSRF Protection Request Cross Site Request Forgery


📈 25.03 Punkte

📌 Realtyna RPL bis 8.9.4 auf Joomla com_rpl administrator/index.php Request Cross Site Request Forgery


📈 25.03 Punkte

📌 Jenkins global-build-stats Plugin bis 1.4 JSON Response POST Request Reflected Cross Site Request Forgery


📈 25.03 Punkte

matomo