CVE-2014-2916

Опубликовано: 05 мая 2014

Источник: nvd

CVSS2: 6.8

EPSS Низкий

Описание

Cross-site request forgery (CSRF) vulnerability in the subscription page editor (spageedit) in phpList before 3.0.6 allows remote attackers to hijack the authentication of administrators via a request to admin/.

Ссылки

http://labs.davidsopas.com/2014/04/phplist-csrf-on-subscription-page.html
Exploit
http://secunia.com/advisories/57893
Vendor Advisory
http://www.phplist.com/?lid=638
Patch
http://www.securitytracker.com/id/1030191
http://labs.davidsopas.com/2014/04/phplist-csrf-on-subscription-page.html
Exploit
http://secunia.com/advisories/57893
Vendor Advisory
http://www.phplist.com/?lid=638
Patch
http://www.securitytracker.com/id/1030191

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:phplist:phplist:*:*:*:*:*:*:*:*

Версия до 3.0.5 (включая)

cpe:2.3:a:phplist:phplist:3.0.0:*:*:*:*:*:*:*

cpe:2.3:a:phplist:phplist:3.0.1:*:*:*:*:*:*:*

cpe:2.3:a:phplist:phplist:3.0.2:*:*:*:*:*:*:*

cpe:2.3:a:phplist:phplist:3.0.3:*:*:*:*:*:*:*

cpe:2.3:a:phplist:phplist:3.0.4:*:*:*:*:*:*:*

EPSS

Процентиль: 40%

0.00182

Низкий

6.8 Medium

CVSS2

Дефекты

CWE-352

Связанные уязвимости

GHSA-w9jc-8977-qq28

github

больше 3 лет назад