๐ IBM Host On-Demand bis 11.0.14 Cross Site Scripting [CVE-2015-5002]
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80311
Betroffen: IBM Host On-Demand bis 11.0.14
Veröffentlicht: 18.01.2016
Risiko: problematisch
Erstellt: 19.01.2016
Eintrag: 64.2% komplett
Beschreibung
In IBM Host On-Demand wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf die Integrität. Die Zusammenfassung von CVE lautet:
Cross-site scripting (XSS) vulnerability in IBM Host On-Demand 11.0 through 11.0.14 allows remote attackers to inject arbitrary web script or HTML via a crafted URL.
Die Schwachstelle wurde am 18.01.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2015-5002 geführt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
- cpe:/a:ibm:host_on-demand:11.0.0
- cpe:/a:ibm:host_on-demand:11.0.1
- cpe:/a:ibm:host_on-demand:11.0.2
- cpe:/a:ibm:host_on-demand:11.0.3
- cpe:/a:ibm:host_on-demand:11.0.4
- cpe:/a:ibm:host_on-demand:11.0.5
- cpe:/a:ibm:host_on-demand:11.0.6
- cpe:/a:ibm:host_on-demand:11.0.7
- cpe:/a:ibm:host_on-demand:11.0.8
- cpe:/a:ibm:host_on-demand:11.0.9
- cpe:/a:ibm:host_on-demand:11.0.10
- cpe:/a:ibm:host_on-demand:11.0.11
- cpe:/a:ibm:host_on-demand:11.0.12
- cpe:/a:ibm:host_on-demand:11.0.13
- cpe:/a:ibm:host_on-demand:11.0.14
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
18.01.2016 | Advisory veröffentlicht
19.01.2016 | VulDB Eintrag erstellt
19.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-5002 (mitre.org) (nvd.nist.org) (cvedetails.com)
...