LogMeIn LastPass حتى 4.9.1 onloadwff.js HTML Document الحرمان من الخدمة
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.6 | $0-$5k | 0.00 |
الملخص
ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في LogMeIn LastPass حتى 4.9.1. المشكلة أثرت على دالة غير معروفة من الملف onloadwff.js. تؤدي عملية التلاعب كجزء من HTML Document إلى الحرمان من الخدمة. تم تسمية الثغرة بأسمCVE-2018-10193. يمكن البدأ بالهجوم هذا عن بعد. بالإضافة إلى ذلك، يتوفر استغلال.
التفاصيل
ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في LogMeIn LastPass حتى 4.9.1. المشكلة أثرت على دالة غير معروفة من الملف onloadwff.js. تؤدي عملية التلاعب كجزء من HTML Document إلى الحرمان من الخدمة. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-404. تم التعرف على الثغرة بتاريخ 28/12/2017. تم نشر الضعف 18/04/2018 بواسطة Steve Birstok (haykuro) (موقع إلكتروني). يمكن تحميل الاستشارة من هنا forums.lastpass.com.
تم تسمية الثغرة بأسمCVE-2018-10193. تم إصدار CVE في 17/04/2018. يمكن البدأ بالهجوم هذا عن بعد. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. بالإضافة إلى ذلك، يتوفر استغلال. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1499.
إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. الإكسبلويت يمكن تحميلها من هناt gist.githack.com. تم تصنيف الثغرة كاستغلال يوم-صفر غير معلن لمدة لا تقل عن 110 يومًا. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $0-$5k.
منتج
المجهز
الأسم
النسخة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.9VulDB الدرجة المؤقتة للميتا: 5.8
VulDB الدرجة الأساسية: 4.3
VulDB الدرجة المؤقتة: 4.1
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 7.5
NVD متجه: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: الحرمان من الخدمةCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
المؤلف: Steve Birstok (haykuro)
لغة البرمجة: 🔍
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔍
وقت تأخير الاستغلال: 🔍
الجدول الزمني
28/12/2017 🔍17/04/2018 🔍
17/04/2018 🔍
18/04/2018 🔍
18/04/2018 🔍
18/04/2018 🔍
01/02/2020 🔍
المصادر
استشارة: forums.lastpass.comباحث: Steve Birstok (haykuro)
الحالة: غير معرفة
CVE: CVE-2018-10193 (🔍)
GCVE (CVE): GCVE-0-2018-10193
GCVE (VulDB): GCVE-100-116297
scip Labs: https://www.scip.ch/en/?labs.20161013
إدخال
تم الإنشاء: 18/04/2018 09:45 AMتم التحديث: 01/02/2020 01:38 PM
التغييرات: 18/04/2018 09:45 AM (54), 01/05/2018 11:59 AM (2), 01/05/2018 12:00 PM (5), 01/05/2018 12:01 PM (4), 01/02/2020 01:38 PM (1)
كامل: 🔍
المتعهد: haykuro
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
More info here: https://forums.lastpass.com/viewtopic.php?f=12&t=286955
Write up coming soon.