首页
» 安全漏洞
» CVE-2017-14799
A cross site scripting attack in handling the ESP login parameter handling in NetIQ Access Manager before 4.3.3 could be used to inject javascript code into the login page.
NVD 状态: Modified ,CVE 状态: published
漏洞分析与风险评定(CVE-2017-14799)
结论预警: CVE-2017-14799 综合评估为低风险(36.5/100) :CVSS 技术影响为中级,利用概率(EPSS 0.76%) 强制指令: 持续跟踪利用情报与 EPSS 变化,并适时复评优先级。
风险随态势动态变化;本站持续评估并同步更新本页展示内容。
CVE-2017-14799 的 EPSS(利用预测评分)
EPSS 日更估计相对被利用可能性;百分位表示该 CVE 在已评分漏洞中的相对排名(越高表示相对更严重)。
#
日期
旧 EPSS 分数
新 EPSS 分数
变化(新 − 旧)
1
2026-06-15
0.18%
0.76%
+0.57%
2
2025-03-17
0.08%
0.18%
+0.10%
3
2023-03-07
—
0.08%
—
完整 EPSS 历史
(共 5 条)
CVE-2017-14799 的 CVSS 指标
该 CVE 的 CVSS 指标。
底座分
版本
严重度
向量
可利用性
影响
分数来源
4.6
3.0
MEDIUM
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
点击展开
攻击向量 (AV:N)
经互联网或企业内可路由网段即可从远端触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
权限要求 (PR:L)
一般用户权限即可,不必是管理员或 root。
用户交互 (UI:R)
需要一次明确的用户动作(安装、改配置、打开恶意文档等)才会落地。
作用域 (S:U)
破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:L)
可能外泄部分字段或样本数据,但难以形成“整库拖走”的局面。
完整性影响 (I:L)
能改局部记录或配置,但尚不致让整站/整库数据整体不可信。
可用性影响 (A:N)
不至于造成业务意义上的长时间停摆或灾难性性能崩塌。
2.1
2.5
[email protected]
6.1
3.0
MEDIUM
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
点击展开
攻击向量 (AV:N)
经互联网或企业内可路由网段即可从远端触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
权限要求 (PR:N)
不必事先登录或提权,匿名会话也可能成为跳板。
用户交互 (UI:R)
需要一次明确的用户动作(安装、改配置、打开恶意文档等)才会落地。
作用域 (S:C)
可从脆弱组件横向波及其他组件或更高权限域,爆炸半径更大。
机密性影响 (C:L)
可能外泄部分字段或样本数据,但难以形成“整库拖走”的局面。
完整性影响 (I:L)
能改局部记录或配置,但尚不致让整站/整库数据整体不可信。
可用性影响 (A:N)
不至于造成业务意义上的长时间停摆或灾难性性能崩塌。
2.8
2.7
[email protected]
4.3
2.0
MEDIUM
AV:N/AC:M/Au:N/C:N/I:P/A:N
点击展开
访问路径 (AV:N)
只要路由可达,即可从远端发起利用。
访问复杂度 (AC:M)
需要若干有利条件,但不至于“千年一遇”。
认证 (AU:N)
全程无需有效身份。
机密性影响 (C:N)
对机密性无影响。
完整性影响 (I:P)
完整性受到部分损害。
可用性影响 (A:N)
对可用性无影响。
8.6
2.9
[email protected]
CVE-2017-14799 的影响软件 / 配置
cvelogic
Threat Intelligence