Lucene search

[email protected]NVD:CVE-2017-5858

HistoryFeb 09, 2017 - 8:59 p.m.

CVE-2017-5858

2017-02-0920:59:00

CWE-20

CWE-346

[email protected]

web.nvd.nist.gov

CVSS2

4.3

Attack Vector

NETWORK

Attack Complexity

MEDIUM

Authentication

NONE

Confidentiality Impact

NONE

Integrity Impact

PARTIAL

Availability Impact

NONE

AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS3

5.9

Attack Vector

NETWORK

Attack Complexity

HIGH

Privileges Required

NONE

User Interaction

NONE

Scope

UNCHANGED

Confidentiality Impact

NONE

Integrity Impact

HIGH

Availability Impact

NONE

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

AI Score

5.7

Confidence

High

EPSS

0.004

Percentile

73.1%

JSON

An incorrect implementation of “XEP-0280: Message Carbons” in multiple XMPP clients allows a remote attacker to impersonate any user, including contacts, in the vulnerable application’s display. This allows for various kinds of social engineering attacks. This CVE is for Converse.js (0.8.0 - 1.0.6, 2.0.0 - 2.0.4).

Affected configurations

Nvd

Node

conversejsconverse.jsMatch0.8.0

conversejsconverse.jsMatch0.8.1

conversejsconverse.jsMatch0.8.2

conversejsconverse.jsMatch0.8.3

conversejsconverse.jsMatch0.8.4

conversejsconverse.jsMatch0.8.5

conversejsconverse.jsMatch0.8.6

conversejsconverse.jsMatch0.9.0

conversejsconverse.jsMatch0.9.1

conversejsconverse.jsMatch0.9.2

conversejsconverse.jsMatch0.9.3

conversejsconverse.jsMatch0.9.4

conversejsconverse.jsMatch0.9.5

conversejsconverse.jsMatch0.9.6

conversejsconverse.jsMatch0.10.0

conversejsconverse.jsMatch0.10.1

conversejsconverse.jsMatch1.0.0

conversejsconverse.jsMatch1.0.1

conversejsconverse.jsMatch1.0.2

conversejsconverse.jsMatch1.0.3

conversejsconverse.jsMatch1.0.4

conversejsconverse.jsMatch1.0.5

conversejsconverse.jsMatch1.0.6

conversejsconverse.jsMatch2.0.0

conversejsconverse.jsMatch2.0.1

conversejsconverse.jsMatch2.0.2

conversejsconverse.jsMatch2.0.3

conversejsconverse.jsMatch2.0.4

VendorProductVersionCPE
conversejsconverse.js0.8.0cpe:2.3:a:conversejs:converse.js:0.8.0:*:*:*:*:*:*:*
conversejsconverse.js0.8.1cpe:2.3:a:conversejs:converse.js:0.8.1:*:*:*:*:*:*:*
conversejsconverse.js0.8.2cpe:2.3:a:conversejs:converse.js:0.8.2:*:*:*:*:*:*:*
conversejsconverse.js0.8.3cpe:2.3:a:conversejs:converse.js:0.8.3:*:*:*:*:*:*:*
conversejsconverse.js0.8.4cpe:2.3:a:conversejs:converse.js:0.8.4:*:*:*:*:*:*:*
conversejsconverse.js0.8.5cpe:2.3:a:conversejs:converse.js:0.8.5:*:*:*:*:*:*:*
conversejsconverse.js0.8.6cpe:2.3:a:conversejs:converse.js:0.8.6:*:*:*:*:*:*:*
conversejsconverse.js0.9.0cpe:2.3:a:conversejs:converse.js:0.9.0:*:*:*:*:*:*:*
conversejsconverse.js0.9.1cpe:2.3:a:conversejs:converse.js:0.9.1:*:*:*:*:*:*:*
conversejsconverse.js0.9.2cpe:2.3:a:conversejs:converse.js:0.9.2:*:*:*:*:*:*:*

Vendor	Product	Version	CPE
conversejs	converse.js	0.8.0	cpe:2.3:a:conversejs:converse.js:0.8.0:::::::*
conversejs	converse.js	0.8.1	cpe:2.3:a:conversejs:converse.js:0.8.1:::::::*
conversejs	converse.js	0.8.2	cpe:2.3:a:conversejs:converse.js:0.8.2:::::::*
conversejs	converse.js	0.8.3	cpe:2.3:a:conversejs:converse.js:0.8.3:::::::*
conversejs	converse.js	0.8.4	cpe:2.3:a:conversejs:converse.js:0.8.4:::::::*
conversejs	converse.js	0.8.5	cpe:2.3:a:conversejs:converse.js:0.8.5:::::::*
conversejs	converse.js	0.8.6	cpe:2.3:a:conversejs:converse.js:0.8.6:::::::*
conversejs	converse.js	0.9.0	cpe:2.3:a:conversejs:converse.js:0.9.0:::::::*
conversejs	converse.js	0.9.1	cpe:2.3:a:conversejs:converse.js:0.9.1:::::::*
conversejs	converse.js	0.9.2	cpe:2.3:a:conversejs:converse.js:0.9.2:::::::*

Rows per page:

1-10 of 281

References

openwall.com/lists/oss-security/2017/02/09/29

www.securityfocus.com/bid/96183

github.com/jcbrand/converse.js/commit/42f249cabbbf5c026398e6d3b350f6f9536ea572

rt-solutions.de/en/2017/02/CVE-2017-5589_xmpp_carbons/

rt-solutions.de/wp-content/uploads/2017/02/CVE-2017-5589_xmpp_carbons.pdf

CVSS2

4.3

Attack Vector

NETWORK

Attack Complexity

MEDIUM

Authentication

NONE

Confidentiality Impact

NONE

Integrity Impact

PARTIAL

Availability Impact

NONE

AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS3

5.9

Attack Vector

NETWORK

Attack Complexity

HIGH

Privileges Required

NONE

User Interaction

NONE

Scope

UNCHANGED

Confidentiality Impact

NONE

Integrity Impact

HIGH

Availability Impact

NONE

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

AI Score

5.7

Confidence

High

EPSS

0.004

Percentile

73.1%

JSON

Related for NVD:CVE-2017-5858

cvelist1 veracode1 prion1 nodejs1 github1 cve1 osv1 zdt1