Vulnerability Details CVE-2017-14142
Multiple cross-site scripting (XSS) vulnerabilities in Kaltura before 13.2.0 allow remote attackers to inject arbitrary web script or HTML via the (1) partnerId or (2) playerVersion parameter to server/admin_console/web/tools/bigRedButton.php; the (3) partnerId, (4) playerVersion, (5) secret, (6) entryId, (7) adminUiConfId, or (8) uiConfId parameter to server/admin_console/web/tools/bigRedButtonPtsPoc.php; the (9) streamUsername, (10) streamPassword, (11) streamRemoteId, (12) streamRemoteBackupId, or (13) entryId parameter to server/admin_console/web/tools/AkamaiBroadcaster.php; the (14) entryId parameter to server/admin_console/web/tools/XmlJWPlayer.php; or the (15) partnerId or (16) playerVersion parameter to server/alpha/web/lib/bigRedButtonPtsPocHlsjs.php.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.005
EPSS Ranking 64.1%
CVSS Severity
CVSS v3 Score 6.1
CVSS v2 Score 4.3
References
- http://www.securityfocus.com/bid/100976
- https://github.com/kaltura/server/pull/6003/commits/7e00a578d6ba748f6d3bdc255a40a4a0a594e6f9
- https://github.com/kaltura/server/pull/6003/commits/a63362aa87d668d5ebf4a89cdd5bb8b815ac7f70
- https://telekomsecurity.github.io/assets/advisories/20170912_kaltura-advisory.txt
- http://www.securityfocus.com/bid/100976
- https://github.com/kaltura/server/pull/6003/commits/7e00a578d6ba748f6d3bdc255a40a4a0a594e6f9
- https://github.com/kaltura/server/pull/6003/commits/a63362aa87d668d5ebf4a89cdd5bb8b815ac7f70
- https://telekomsecurity.github.io/assets/advisories/20170912_kaltura-advisory.txt
Products affected by CVE-2017-14142
-
cpe:2.3:a:kaltura:kaltura_server:10.0.0
-
cpe:2.3:a:kaltura:kaltura_server:10.1.0
-
cpe:2.3:a:kaltura:kaltura_server:10.10.0
-
cpe:2.3:a:kaltura:kaltura_server:10.11.0
-
cpe:2.3:a:kaltura:kaltura_server:10.12.0
-
cpe:2.3:a:kaltura:kaltura_server:10.13.0
-
cpe:2.3:a:kaltura:kaltura_server:10.14.0
-
cpe:2.3:a:kaltura:kaltura_server:10.15.0
-
cpe:2.3:a:kaltura:kaltura_server:10.16.0
-
cpe:2.3:a:kaltura:kaltura_server:10.17.0
-
cpe:2.3:a:kaltura:kaltura_server:10.18.0
-
cpe:2.3:a:kaltura:kaltura_server:10.19.0
-
cpe:2.3:a:kaltura:kaltura_server:10.2.0
-
cpe:2.3:a:kaltura:kaltura_server:10.20.0
-
cpe:2.3:a:kaltura:kaltura_server:10.21.0
-
cpe:2.3:a:kaltura:kaltura_server:10.3.0
-
cpe:2.3:a:kaltura:kaltura_server:10.4.0
-
cpe:2.3:a:kaltura:kaltura_server:10.5.0
-
cpe:2.3:a:kaltura:kaltura_server:10.6.0
-
cpe:2.3:a:kaltura:kaltura_server:10.7.0
-
cpe:2.3:a:kaltura:kaltura_server:10.8.0
-
cpe:2.3:a:kaltura:kaltura_server:10.9.0
-
cpe:2.3:a:kaltura:kaltura_server:11.0.0
-
cpe:2.3:a:kaltura:kaltura_server:11.1.0
-
cpe:2.3:a:kaltura:kaltura_server:11.10.0
-
cpe:2.3:a:kaltura:kaltura_server:11.11.0
-
cpe:2.3:a:kaltura:kaltura_server:11.12.0
-
cpe:2.3:a:kaltura:kaltura_server:11.13.0
-
cpe:2.3:a:kaltura:kaltura_server:11.14.0
-
cpe:2.3:a:kaltura:kaltura_server:11.15.0
-
cpe:2.3:a:kaltura:kaltura_server:11.16.0
-
cpe:2.3:a:kaltura:kaltura_server:11.17.0
-
cpe:2.3:a:kaltura:kaltura_server:11.18.0
-
cpe:2.3:a:kaltura:kaltura_server:11.19.0
-
cpe:2.3:a:kaltura:kaltura_server:11.2.0
-
cpe:2.3:a:kaltura:kaltura_server:11.20.0
-
cpe:2.3:a:kaltura:kaltura_server:11.21.0
-
cpe:2.3:a:kaltura:kaltura_server:11.3.0
-
cpe:2.3:a:kaltura:kaltura_server:11.4.0
-
cpe:2.3:a:kaltura:kaltura_server:11.5.0
-
cpe:2.3:a:kaltura:kaltura_server:11.6.0
-
cpe:2.3:a:kaltura:kaltura_server:11.7.0
-
cpe:2.3:a:kaltura:kaltura_server:11.8.0
-
cpe:2.3:a:kaltura:kaltura_server:11.9.0
-
cpe:2.3:a:kaltura:kaltura_server:12.0.0
-
cpe:2.3:a:kaltura:kaltura_server:12.1.0
-
cpe:2.3:a:kaltura:kaltura_server:12.10.0
-
cpe:2.3:a:kaltura:kaltura_server:12.11.0
-
cpe:2.3:a:kaltura:kaltura_server:12.12.0
-
cpe:2.3:a:kaltura:kaltura_server:12.13.0
-
cpe:2.3:a:kaltura:kaltura_server:12.14.0
-
cpe:2.3:a:kaltura:kaltura_server:12.15.0
-
cpe:2.3:a:kaltura:kaltura_server:12.16.0
-
cpe:2.3:a:kaltura:kaltura_server:12.17.0
-
cpe:2.3:a:kaltura:kaltura_server:12.18.0
-
cpe:2.3:a:kaltura:kaltura_server:12.19.0
-
cpe:2.3:a:kaltura:kaltura_server:12.2.0
-
cpe:2.3:a:kaltura:kaltura_server:12.20.0
-
cpe:2.3:a:kaltura:kaltura_server:12.3.0
-
cpe:2.3:a:kaltura:kaltura_server:12.4.0
-
cpe:2.3:a:kaltura:kaltura_server:12.5.0
-
cpe:2.3:a:kaltura:kaltura_server:12.6.0
-
cpe:2.3:a:kaltura:kaltura_server:12.7.0
-
cpe:2.3:a:kaltura:kaltura_server:12.8.0
-
cpe:2.3:a:kaltura:kaltura_server:12.9.0
-
cpe:2.3:a:kaltura:kaltura_server:13.0.0
-
cpe:2.3:a:kaltura:kaltura_server:13.1.0
-
cpe:2.3:a:kaltura:kaltura_server:13.10.0
-
cpe:2.3:a:kaltura:kaltura_server:13.11.0
-
cpe:2.3:a:kaltura:kaltura_server:13.12.0
-
cpe:2.3:a:kaltura:kaltura_server:13.13.0
-
cpe:2.3:a:kaltura:kaltura_server:13.14.0
-
cpe:2.3:a:kaltura:kaltura_server:13.15.0
-
cpe:2.3:a:kaltura:kaltura_server:13.16.0
-
cpe:2.3:a:kaltura:kaltura_server:13.17.0
-
cpe:2.3:a:kaltura:kaltura_server:13.18.0
-
cpe:2.3:a:kaltura:kaltura_server:13.19.0
-
cpe:2.3:a:kaltura:kaltura_server:13.2.0
-
cpe:2.3:a:kaltura:kaltura_server:13.20.0
-
cpe:2.3:a:kaltura:kaltura_server:13.3.0
-
cpe:2.3:a:kaltura:kaltura_server:13.4.0
-
cpe:2.3:a:kaltura:kaltura_server:13.5.0
-
cpe:2.3:a:kaltura:kaltura_server:13.6.0
-
cpe:2.3:a:kaltura:kaltura_server:13.7.0
-
cpe:2.3:a:kaltura:kaltura_server:13.8.0
-
cpe:2.3:a:kaltura:kaltura_server:13.9.0
-
cpe:2.3:a:kaltura:kaltura_server:14.0.0
-
cpe:2.3:a:kaltura:kaltura_server:14.1.0
-
cpe:2.3:a:kaltura:kaltura_server:14.10.0
-
cpe:2.3:a:kaltura:kaltura_server:14.11.0
-
cpe:2.3:a:kaltura:kaltura_server:14.12.0
-
cpe:2.3:a:kaltura:kaltura_server:14.13.0
-
cpe:2.3:a:kaltura:kaltura_server:14.14.0
-
cpe:2.3:a:kaltura:kaltura_server:14.15.0
-
cpe:2.3:a:kaltura:kaltura_server:14.16.0
-
cpe:2.3:a:kaltura:kaltura_server:14.17.0
-
cpe:2.3:a:kaltura:kaltura_server:14.18.0
-
cpe:2.3:a:kaltura:kaltura_server:14.19.0
-
cpe:2.3:a:kaltura:kaltura_server:14.2.0
-
cpe:2.3:a:kaltura:kaltura_server:14.20.0
-
cpe:2.3:a:kaltura:kaltura_server:14.3.0
-
cpe:2.3:a:kaltura:kaltura_server:14.4.0
-
cpe:2.3:a:kaltura:kaltura_server:14.5.0
-
cpe:2.3:a:kaltura:kaltura_server:14.6.0
-
cpe:2.3:a:kaltura:kaltura_server:14.7.0
-
cpe:2.3:a:kaltura:kaltura_server:14.8.0
-
cpe:2.3:a:kaltura:kaltura_server:14.9.0
-
cpe:2.3:a:kaltura:kaltura_server:15.0.0
-
cpe:2.3:a:kaltura:kaltura_server:15.1.0
-
cpe:2.3:a:kaltura:kaltura_server:15.10.0
-
cpe:2.3:a:kaltura:kaltura_server:15.11.0
-
cpe:2.3:a:kaltura:kaltura_server:15.12.0
-
cpe:2.3:a:kaltura:kaltura_server:15.13.0
-
cpe:2.3:a:kaltura:kaltura_server:15.14.0
-
cpe:2.3:a:kaltura:kaltura_server:15.15.0
-
cpe:2.3:a:kaltura:kaltura_server:15.16.0
-
cpe:2.3:a:kaltura:kaltura_server:15.17.0
-
cpe:2.3:a:kaltura:kaltura_server:15.18.0
-
cpe:2.3:a:kaltura:kaltura_server:15.19.0
-
cpe:2.3:a:kaltura:kaltura_server:15.2.0
-
cpe:2.3:a:kaltura:kaltura_server:15.20.0
-
cpe:2.3:a:kaltura:kaltura_server:15.3.0
-
cpe:2.3:a:kaltura:kaltura_server:15.4.0
-
cpe:2.3:a:kaltura:kaltura_server:15.5.0
-
cpe:2.3:a:kaltura:kaltura_server:15.6.0
-
cpe:2.3:a:kaltura:kaltura_server:15.7.0
-
cpe:2.3:a:kaltura:kaltura_server:15.8.0
-
cpe:2.3:a:kaltura:kaltura_server:15.9.0
-
cpe:2.3:a:kaltura:kaltura_server:16.0.0
-
cpe:2.3:a:kaltura:kaltura_server:16.0.1
-
cpe:2.3:a:kaltura:kaltura_server:16.1.0
-
cpe:2.3:a:kaltura:kaltura_server:16.10.0
-
cpe:2.3:a:kaltura:kaltura_server:16.11.0
-
cpe:2.3:a:kaltura:kaltura_server:16.12.0
-
cpe:2.3:a:kaltura:kaltura_server:16.13.0
-
cpe:2.3:a:kaltura:kaltura_server:16.14.0
-
cpe:2.3:a:kaltura:kaltura_server:16.15.0
-
cpe:2.3:a:kaltura:kaltura_server:16.16.0
-
cpe:2.3:a:kaltura:kaltura_server:16.17.0
-
cpe:2.3:a:kaltura:kaltura_server:16.18.0
-
cpe:2.3:a:kaltura:kaltura_server:16.19.0
-
cpe:2.3:a:kaltura:kaltura_server:16.2.0
-
cpe:2.3:a:kaltura:kaltura_server:16.20.0
-
cpe:2.3:a:kaltura:kaltura_server:16.4.0
-
cpe:2.3:a:kaltura:kaltura_server:16.5.0
-
cpe:2.3:a:kaltura:kaltura_server:16.6.0
-
cpe:2.3:a:kaltura:kaltura_server:16.7.0
-
cpe:2.3:a:kaltura:kaltura_server:16.8.0
-
cpe:2.3:a:kaltura:kaltura_server:16.9.0
-
cpe:2.3:a:kaltura:kaltura_server:17.0.0
-
cpe:2.3:a:kaltura:kaltura_server:17.1.0
-
cpe:2.3:a:kaltura:kaltura_server:17.2.0
-
cpe:2.3:a:kaltura:kaltura_server:17.3.0
-
cpe:2.3:a:kaltura:kaltura_server:17.4.0
-
cpe:2.3:a:kaltura:kaltura_server:17.5.0
-
cpe:2.3:a:kaltura:kaltura_server:9.0.0
-
cpe:2.3:a:kaltura:kaltura_server:9.11.0
-
cpe:2.3:a:kaltura:kaltura_server:9.12.0
-
cpe:2.3:a:kaltura:kaltura_server:9.13.0
-
cpe:2.3:a:kaltura:kaltura_server:9.14.0
-
cpe:2.3:a:kaltura:kaltura_server:9.15.0
-
cpe:2.3:a:kaltura:kaltura_server:9.16.0
-
cpe:2.3:a:kaltura:kaltura_server:9.17.0
-
cpe:2.3:a:kaltura:kaltura_server:9.18.0
-
cpe:2.3:a:kaltura:kaltura_server:9.19.0
-
cpe:2.3:a:kaltura:kaltura_server:9.19.1
-
cpe:2.3:a:kaltura:kaltura_server:9.19.2
-
cpe:2.3:a:kaltura:kaltura_server:9.19.3
-
cpe:2.3:a:kaltura:kaltura_server:9.19.4
-
cpe:2.3:a:kaltura:kaltura_server:9.19.5
-
cpe:2.3:a:kaltura:kaltura_server:9.19.6
-
cpe:2.3:a:kaltura:kaltura_server:9.19.7
-
cpe:2.3:a:kaltura:kaltura_server:9.19.8
-
cpe:2.3:a:kaltura:kaltura_server:9.3.0
-
cpe:2.3:a:kaltura:kaltura_server:9.5.0
-
cpe:2.3:a:kaltura:kaltura_server:9.6.0
-
cpe:2.3:a:kaltura:kaltura_server:9.8.0
-
cpe:2.3:a:kaltura:kaltura_server:9.9.0