Telecommunication Software SAMwin Contact Center Suite 5.1 Password SAMwinLIBVB.dll passwordScramble توثيق ضعيف
CVSS درجة الميتا الوقتية | سعر الإكسبلويت الحالي (≈) | درجة اهتمام الـCTI |
---|---|---|
6.0 | $0-$5k | 0.09 |
تم التعرف على ثغرة أمنية في Telecommunication Software SAMwin Contact Center Suite 5.1. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية متواجدة في الدالة passwordScramble
في المكتبة SAMwinLIBVB.dll من العنصر Password Handler. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-287. المشكلة تم الافصاح عنها بتاريخ 13/03/2014 بواسطة Tobias Ospelt and Max Moser مع modzero AG كـ MZ-13-07 كـ استشاري (Website). يمكن قراءة الاستشارة من هنا modzero.ch. تم ابلاغ الشركة المالكة قبل نشر هذه البيانات.
أسم الثغرة الأمنية هوCVE-2013-10004. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة. سعر الثغرة الأمنية هذه بحوالي بـ USD $0-$5k في هذه اللحظة. الثغرة الأمنية حدثت نتيجة لهذا الكود البرمجي:
void function passwordScramble n = strlen(pwd) pwd = toupper(pwd) hashsum = 0 for (i = 0; i < n; i++) { hashsum += (i+1) * pwd[i]; } return hashsumوقد أشار الاستشاري إلى أن:
The probability that a certain hash value occurs is highly non-uniform (...) It roughly resembles a slightly skewed normal distribution centered around 3700 with a standard deviation of about 450. 90% of all possible password inputs will result in hash values between 3000 and 4500. The odds that a randomly chosen password from the 5.44 * 10^19 possible values will have the exact hash value 3700 is about 1:1138. An attacker is able to exploit this statistical property to speed up a brute-force attack: he constructs a list of password candidates with exactly one password for every possible hash value. Optimally, he guesses candidates from this list in order of descending probability.
تم أعتبراها على أنها غير معرفة. الثغرة الأمنية تم استخدامها كثغرة هجوم فوري غير معلنة للعامة لمدة174 يوم. بما أنها ثغرة هجوم فوري فقد كان متوسط سعرها هو تقريبا$0-$5k.
تحديث النسخة إلى إصدار6.2 يمكن أن يحل هذه المشكلة. ننصح بـ تحديث المكون المتأثر بهذه الثغرة. الاستشارة تتضمن الملاحظات التالية:
It is recommended to limit the number of possible password tries for all accounts. The vendor will not provide any fixes for previous versions.
متأثر
- Telecommunication Software SAMwin Contact Center Suite 5.1
- Telecommunication Software SAMwin Agent 5.01.19.06
منتج
المجهز
الأسم
النسخة
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 6.5VulDB درجة الميتا الوقتية: 6.0
VulDB الدرجة الأساسية: 6.5
VulDB الدرجة الوقتية: 6.0
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
---|---|---|---|---|---|
افتح | افتح | افتح | افتح | افتح | افتح |
افتح | افتح | افتح | افتح | افتح | افتح |
افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة الوقتية: 🔍
VulDB الاعتمادية: 🔍
إكسبلويت
الفئة: توثيق ضعيفCWE: CWE-287
ATT&CK: غير معروف
محلي: لا
عن بعد: نعم
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
0-Day | افتح | افتح | افتح | افتح |
---|---|---|---|---|
اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلين النشيطين: 🔍
مجوعات الـAPT الفعالة: 🔍
إجراءات مضادة
المقترح: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔍
ترقية: SAMwin Contact Center Suite 6.2
التسلسل زمني
20/09/2013 🔍24/09/2013 🔍
13/03/2014 🔍
03/04/2014 🔍
24/05/2022 🔍
المصادر
استشاري: MZ-13-07باحث: Tobias Ospelt, Max Moser
منظمة: modzero AG
الحالة: غير معرفة
تنسيق: 🔍
CVE: CVE-2013-10004 (🔍)
آقرأ ايضاً: 🔍
ادخال
تم الانشاء: 03/04/2014 17:21تم التحديث: 24/05/2022 15:15
التغييرات: 03/04/2014 17:21 (53), 31/03/2019 21:58 (1), 24/05/2022 15:15 (3)
كامل: 🔍
لا توجد تعليقات اللغات: ar + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق