📚 Burden 2.1.1 Add Task /burden/worker.php task/detail Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Burden 2.1.1 wurde eine problematische Schwachstelle ausgemacht. Hierbei betrifft es eine unbekannte Funktion der Datei /burden/worker.php der Komponente Add Task. Durch das Manipulieren des Arguments task/detail
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität.
Die Schwachstelle wurde am 26.11.2016 durch Benjamin Kunz Mejri als VL-ID 1998 in Form eines ungeprüften Advisories (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter vulnerability-lab.com. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Benjamin Kunz Mejri programmiert und direkt nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von vulnerability-lab.com geschehen.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.0 (CVSS2#E:POC/RL:ND/RC:UR) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Benjamin Kunz Mejri
Download: vulnerability-lab.com
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
26.11.2016 Advisory veröffentlicht26.11.2016 Exploit veröffentlicht
29.11.2016 VulDB Eintrag erstellt
29.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: VL-ID 1998Person: Benjamin Kunz Mejri
Status: Ungeprüft
Eintrag
Erstellt: 29.11.2016Eintrag: 71% komplett
...