CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
4.8 | $0-$5k | 0.00 |
Es wurde eine problematische Schwachstelle in FlatNuke 2.5.3 (Content Management System) ausgemacht. Hiervon betroffen ist ein unbekannter Codeblock der Datei thumb.php der Komponente Installation. Dank der Manipulation des Arguments image
mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-22 vorgenommen. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
Directory traversal vulnerability in thumb.php in FlatNuke 2.5.3 allows remote attackers to read arbitrary images or obtain the installation path via the image parameter.
Die Schwachstelle wurde am 09.06.2005 (Website) publik gemacht. Das Advisory kann von secwatch.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 08.06.2005 unter CVE-2005-1896 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1006.
Er wird als proof-of-concept gehandelt. Mittels inurl:thumb.php können durch Google Hacking potentiell verwundbare Systeme gefunden werden.
Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben.
Produkt
Typ
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Timeline
06.06.2005 🔍07.06.2005 🔍
08.06.2005 🔍
09.06.2005 🔍
09.06.2005 🔍
11.03.2015 🔍
09.07.2018 🔍
Quellen
Advisory: secwatch.orgStatus: Bestätigt
Bestätigung: 🔍
CVE: CVE-2005-1896 (🔍)
SecurityTracker: 1014114
Secunia: 15603 - FlatNuke Multiple Vulnerabilities, Highly Critical
Vupen: ADV-2005-0697
Eintrag
Erstellt: 11.03.2015 11:41Aktualisierung: 09.07.2018 09:00
Anpassungen: 11.03.2015 11:41 (53), 09.07.2018 09:00 (7)
Komplett: 🔍
Cache ID: 18:53B:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.