Think you have a false positive on this rule?

Sid 1-46808

Message

SERVER-WEBAPP PHP .phar cross site scripting attempt

Summary

This event is generated when a cross site scripting attempt against PHP .phar pages is detected

Impact

Attempted User Privilege Gain

CVE-2018-10547:

CVSS base score 6.1

CVSS impact score 2.7

CVSS exploitability score 2.8

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

CVE-2018-5712:

CVSS base score 6.1

CVSS impact score 2.7

CVSS exploitability score 2.8

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Detailed information

PHP is prone to a cross-site scripting vulnerability.

An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks. CVE-2018-10547: An issue was discovered in ext/phar/phar_object.c in PHP before 5.6.36, 7.0.x before 7.0.30, 7.1.x before 7.1.17, and 7.2.x before 7.2.5. There is Reflected XSS on the PHAR 403 and 404 error pages via request data of a request for a .phar file. NOTE: this vulnerability exists because of an incomplete fix for CVE-2018-5712.

CVE-2018-5712: An issue was discovered in PHP before 5.6.33, 7.0.x before 7.0.27, 7.1.x before 7.1.13, and 7.2.x before 7.2.1. There is Reflected XSS on the PHAR 404 error page via the URI of a request for a .phar file.

Affected systems

  • php php -
  • php php 0.1
  • php php 0.2
  • php php 0.2.1
  • php php 0.2.3
  • php php 0.3
  • php php 0.5
  • php php 0.5.3
  • php php 0.7
  • php php 0.9
  • php php 0.9.1
  • php php 0.9.3
  • php php 0.10
  • php php 0.90
  • php php 1.0
  • php php 1.0.2
  • php php 1.0.4
  • php php 1.1.0
  • php php 1.2.0
  • php php 1.2.2
  • php php 1.2.4
  • php php 1.3.1
  • php php 1.4
  • php php 2.0
  • php php 2.0.0
  • php php 2.0.2
  • php php 2.0b10
  • php php 3.0
  • php php 3.0.1
  • php php 3.0.2
  • php php 3.0.3
  • php php 3.0.4
  • php php 3.0.5
  • php php 3.0.6
  • php php 3.0.7
  • php php 3.0.8
  • php php 3.0.9
  • php php 3.0.10
  • php php 3.0.11
  • php php 3.0.12
  • php php 3.0.13
  • php php 3.0.14
  • php php 3.0.15
  • php php 3.0.16
  • php php 3.0.17
  • php php 3.0.18
  • php php 4.0
  • php php 4.0.0
  • php php 4.0.1
  • php php 4.0.2
  • php php 4.0.3
  • php php 4.0.4
  • php php 4.0.5
  • php php 4.0.6
  • php php 4.0.7
  • php php 4.1.0
  • php php 4.1.1
  • php php 4.1.2
  • php php 4.1.3
  • php php 4.2
  • php php 4.2.0
  • php php 4.2.1
  • php php 4.2.2
  • php php 4.2.3
  • php php 4.2.4
  • php php 4.3
  • php php 4.3.0
  • php php 4.3.1
  • php php 4.3.2
  • php php 4.3.3
  • php php 4.3.4
  • php php 4.3.5
  • php php 4.3.6
  • php php 4.3.7
  • php php 4.3.8
  • php php 4.3.9
  • php php 4.3.10
  • php php 4.3.11
  • php php 4.4.0
  • php php 4.4.1
  • php php 4.4.2
  • php php 4.4.3
  • php php 4.4.4
  • php php 4.4.5
  • php php 4.4.6
  • php php 4.4.7
  • php php 4.4.8
  • php php 4.4.9
  • php php 5.0.0
  • php php 5.0.1
  • php php 5.0.2
  • php php 5.0.3
  • php php 5.0.4
  • php php 5.0.5
  • php php 5.1
  • php php 5.1.0
  • php php 5.1.1
  • php php 5.1.2
  • php php 5.1.3
  • php php 5.1.4
  • php php 5.1.5
  • php php 5.1.6
  • php php 5.2.0
  • php php 5.2.1
  • php php 5.2.2
  • php php 5.2.3
  • php php 5.2.4
  • php php 5.2.5
  • php php 5.2.6
  • php php 5.2.7
  • php php 5.2.8
  • php php 5.2.9
  • php php 5.2.10
  • php php 5.2.11
  • php php 5.2.12
  • php php 5.2.13
  • php php 5.2.14
  • php php 5.2.15
  • php php 5.2.16
  • php php 5.2.17
  • php php 5.3.0
  • php php 5.3.1
  • php php 5.3.2
  • php php 5.3.3
  • php php 5.3.4
  • php php 5.3.5
  • php php 5.3.6
  • php php 5.3.7
  • php php 5.3.8
  • php php 5.3.9
  • php php 5.3.10
  • php php 5.3.11
  • php php 5.3.12
  • php php 5.3.13
  • php php 5.3.14
  • php php 5.3.15
  • php php 5.3.16
  • php php 5.3.17
  • php php 5.3.18
  • php php 5.3.19
  • php php 5.3.20
  • php php 5.3.21
  • php php 5.3.22
  • php php 5.3.23
  • php php 5.3.24
  • php php 5.3.25
  • php php 5.3.26
  • php php 5.3.27
  • php php 5.3.28
  • php php 5.3.29
  • php php 5.4.0
  • php php 5.4.1
  • php php 5.4.2
  • php php 5.4.3
  • php php 5.4.4
  • php php 5.4.5
  • php php 5.4.6
  • php php 5.4.7
  • php php 5.4.8
  • php php 5.4.9
  • php php 5.4.10
  • php php 5.4.11
  • php php 5.4.12
  • php php 5.4.13
  • php php 5.4.14
  • php php 5.4.15
  • php php 5.4.16
  • php php 5.4.17
  • php php 5.4.18
  • php php 5.4.19
  • php php 5.4.20
  • php php 5.4.21
  • php php 5.4.22
  • php php 5.4.23
  • php php 5.4.24
  • php php 5.4.25
  • php php 5.4.26
  • php php 5.4.27
  • php php 5.4.28
  • php php 5.4.29
  • php php 5.4.30
  • php php 5.4.31
  • php php 5.4.32
  • php php 5.4.33
  • php php 5.4.34
  • php php 5.4.35
  • php php 5.4.36
  • php php 5.4.37
  • php php 5.4.38
  • php php 5.4.39
  • php php 5.4.40
  • php php 5.4.41
  • php php 5.4.42
  • php php 5.4.43
  • php php 5.4.44
  • php php 5.4.45
  • php php 5.5.0
  • php php 5.5.1
  • php php 5.5.2
  • php php 5.5.3
  • php php 5.5.4
  • php php 5.5.5
  • php php 5.5.6
  • php php 5.5.7
  • php php 5.5.8
  • php php 5.5.9
  • php php 5.5.10
  • php php 5.5.11
  • php php 5.5.12
  • php php 5.5.13
  • php php 5.5.14
  • php php 5.5.15
  • php php 5.5.16
  • php php 5.5.17
  • php php 5.5.18
  • php php 5.5.19
  • php php 5.5.20
  • php php 5.5.21
  • php php 5.5.22
  • php php 5.5.23
  • php php 5.5.24
  • php php 5.5.25
  • php php 5.5.26
  • php php 5.5.27
  • php php 5.5.28
  • php php 5.5.29
  • php php 5.5.30
  • php php 5.5.31
  • php php 5.5.32
  • php php 5.5.33
  • php php 5.5.34
  • php php 5.5.35
  • php php 5.5.36
  • php php 5.5.37
  • php php 5.5.38
  • php php 5.6.0
  • php php 5.6.1
  • php php 5.6.2
  • php php 5.6.3
  • php php 5.6.4
  • php php 5.6.5
  • php php 5.6.6
  • php php 5.6.7
  • php php 5.6.8
  • php php 5.6.9
  • php php 5.6.10
  • php php 5.6.11
  • php php 5.6.12
  • php php 5.6.13
  • php php 5.6.14
  • php php 5.6.15
  • php php 5.6.16
  • php php 5.6.17
  • php php 5.6.18
  • php php 5.6.19
  • php php 5.6.20
  • php php 5.6.21
  • php php 5.6.22
  • php php 5.6.23
  • php php 5.6.24
  • php php 5.6.25
  • php php 5.6.26
  • php php 5.6.27
  • php php 5.6.28
  • php php 5.6.29
  • php php 5.6.30
  • php php 5.6.31
  • php php 5.6.32
  • php php 5.6.33
  • php php 5.6.34
  • php php 7.0.0
  • php php 7.0.1
  • php php 7.0.2
  • php php 7.0.3
  • php php 7.0.4
  • php php 7.0.5
  • php php 7.0.6
  • php php 7.0.7
  • php php 7.0.8
  • php php 7.0.9
  • php php 7.0.10
  • php php 7.0.11
  • php php 7.0.12
  • php php 7.0.13
  • php php 7.0.14
  • php php 7.0.15
  • php php 7.0.16
  • php php 7.0.17
  • php php 7.0.18
  • php php 7.0.19
  • php php 7.0.20
  • php php 7.0.21
  • php php 7.0.22
  • php php 7.0.23
  • php php 7.0.24
  • php php 7.0.25
  • php php 7.0.26
  • php php 7.0.27
  • php php 7.0.28
  • php php 7.0.29
  • php php 7.1.0
  • php php 7.1.1
  • php php 7.1.2
  • php php 7.1.3
  • php php 7.1.4
  • php php 7.1.5
  • php php 7.1.6
  • php php 7.1.7
  • php php 7.1.8
  • php php 7.1.9
  • php php 7.1.10
  • php php 7.1.11
  • php php 7.1.12
  • php php 7.1.13
  • php php 7.1.14
  • php php 7.1.15
  • php php 7.1.16
  • php php 7.2.0
  • php php 7.2.1
  • php php 7.2.2
  • php php 7.2.3
  • php php 7.2.4
  • canonical ubuntu_linux 14.04
  • canonical ubuntu_linux 16.04
  • canonical ubuntu_linux 17.10
  • canonical ubuntu_linux 18.04
  • debian debian_linux 7.0

Ease of attack

Simple, A proof of concept exploit exists.

False positives

None Known.

False negatives

None Known.

Corrective action

Patch immediately if possible.

Contributors

  • Cisco's Talos Intelligence Group

Additional References