Synology DiskStation Manager 4.3-3810 file_sharing.cgi اجتياز الدليل

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
5.7$0-$5k0.00

الملخصالمعلومات

تم أكتشاف ثغرة أمنية في Synology DiskStation Manager 4.3-3810. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية متواجدة في دالة غير معروفة من الملف webapi/FileStation/file_sharing.cgi. ينتج عن التلاعب حدوث اجتياز الدليل. أسم الثغرة الأمنية هوCVE-2013-6987. هنالك إكسبلويت متوفرة. يوصى بتثبيت تصحيح لمعالجة هذه المشكلة.

التفاصيلالمعلومات

تم أكتشاف ثغرة أمنية في Synology DiskStation Manager 4.3-3810. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية متواجدة في دالة غير معروفة من الملف webapi/FileStation/file_sharing.cgi. ينتج عن التلاعب حدوث اجتياز الدليل. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-22. تم الإعلان عن الثغرة 20/12/2013 من قبل Andrea Fabrizi من خلال andreafabrizi.it تحت Synology DSM multiple directory traversal كنوع Mailinglist Post (Full-Disclosure). يمكن عرض الاستشارة من هنا seclists.org. تم التنسيق مع البائع قبل النشر العلني.

أسم الثغرة الأمنية هوCVE-2013-6987. حدث تعيين CVE في 06/12/2013. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم الإعلان عن الثغرة للعامة ومن الممكن استغلالها. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1006.

إذا كان هناك قيمة لـ إثبات المفهوم، فسيتم التصريح بأنه إثبات المفهوم. تستطيع تحميل الإكسبلويت من هنا seclists.org. تم التعامل مع الثغرة كاستغلال يوم-صفر غير علني لمدة لا تقل عن 15 يومًا. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $0-$5k. إذا كان The only countermeasure implemented against this vulnerability is the check that the path starts with a valid shared folder, so is enough to put the "../" straight after, to bypass the security check. يحتوي على نص، فإن التحذير يوضح ما يلي:

The only countermeasure implemented against this vulnerability is the check that the path starts with a valid shared folder, so is enough to put the "../" straight after, to bypass the security check.
يحتوي برنامج Nessus لفحص الثغرات على ملحق بالمعرف 72346. يتم تعيينه إلى العائلة CGI abuses.

يوصى بتثبيت تصحيح لمعالجة هذه المشكلة.

الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 64483), X-Force (89892), Secunia (SA56106), Vulnerability Center (SBV-43346) , Tenable (72346).

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 6.3
VulDB الدرجة المؤقتة للميتا: 5.7

VulDB الدرجة الأساسية: 6.3
VulDB الدرجة المؤقتة: 5.7
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: اجتياز الدليل
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
المؤلف: Andrea Fabrizi
لغة البرمجة: 🔍
تحميل: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 72346
Nessus الأسم: Synology DiskStation Manager < 4.3-3810 Update 3 Multiple FileBrowser Component Directory Traversal Vulnerabilities
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍

Exploit-DB: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: تصحيح
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
وقت تأخير الاستغلال: 🔍

الجدول الزمنيالمعلومات

05/12/2013 🔍
06/12/2013 +1 أيام 🔍
20/12/2013 +14 أيام 🔍
20/12/2013 +0 أيام 🔍
20/12/2013 +0 أيام 🔍
20/12/2013 +0 أيام 🔍
20/12/2013 +0 أيام 🔍
23/12/2013 +3 أيام 🔍
24/12/2013 +1 أيام 🔍
30/12/2013 +6 أيام 🔍
31/12/2013 +1 أيام 🔍
05/02/2014 +36 أيام 🔍
20/02/2014 +15 أيام 🔍
15/01/2025 +3982 أيام 🔍

المصادرالمعلومات

المجهز: synology.com

استشارة: Synology DSM multiple directory traversal
باحث: Andrea Fabrizi
منظمة: andreafabrizi.it
الحالة: مؤكد
تأكيد: 🔍
منسق: 🔍

CVE: CVE-2013-6987 (🔍)
GCVE (CVE): GCVE-0-2013-6987
GCVE (VulDB): GCVE-100-11571
X-Force: 89892 - Synology DiskStation Manager (DSM) multiple scripts directory traversal
SecurityFocus: 64483 - Synology DiskStation Manager 'FileBrowser' Component Multiple Directory Traversal Vulnerabilities
Secunia: 56106 - Synology DiskStation Manager Multiple Security Bypass Vulnerabilities, Not Critical
OSVDB: 101268
Vulnerability Center: 43346 - Synology DiskStation Manager Before 4.3-3827 Remote File Read, Write and Delete, High

scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 23/12/2013 07:36 PM
تم التحديث: 15/01/2025 02:39 AM
التغييرات: 23/12/2013 07:36 PM (92), 21/05/2017 02:17 PM (1), 04/06/2021 02:27 PM (3), 15/07/2024 04:56 AM (15), 15/01/2025 02:39 AM (1)
كامل: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Do you need the next level of professionalism?

Upgrade your account now!