cPanel 11.36.2.9/11.38.2.12/11.40.0.28/11.40.1.2 XML API get_remote_access_hash Hash الكشف عن المعلومات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في cPanel 11.36.2.9/11.38.2.12/11.40.0.28/11.40.1.2. تتعلق المشكلة بالوظيفة get_remote_access_hash في المكون XML API. عند التلاعب ينتج الكشف عن المعلومات (Hash).
لا يوجد أي استغلال متوفر.
ننصح بـ تحديث المكون المتأثر بهذه الثغرة.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في cPanel 11.36.2.9/11.38.2.12/11.40.0.28/11.40.1.2. تتعلق المشكلة بالوظيفة get_remote_access_hash في المكون XML API. عند التلاعب ينتج الكشف عن المعلومات (Hash). استخدام CWE للإعلان عن المشكلة يؤدي إلى CWE-200. المشكلة تم الإبلاغ عنها بتاريخ 05/02/2014 كـ TSR 2014-0001 كـ استشارة (موقع إلكتروني). تمت مشاركة التنبيه للتنزيل على cpanel.net.
يوجد شرح تقني متاح. هذه الثغرة ليست شائعة مقارنة بالمتوسط. لا يوجد أي استغلال متوفر. اسلوب الهجوم المستخدم يسمىT1592 بحسب مشروع ميتري اتاك. ذكرت النشرة ما يلي:
Reseller accounts, regardless of their ACLs, were able to retrieve and alter root’s accesshash credentials via the get_remote_access_hash XML-API command by supplying empty user and password arguments.
بما أنها ثغرة هجوم فوري فقد كان متوسط سعرها هو تقريبا$0-$5k.
تحديث النسخة إلى إصدار11.38.2.16, 11.40.1.10 , 11.42.0.4 يمكن أن يحل هذه المشكلة. ننصح بـ تحديث المكون المتأثر بهذه الثغرة.
في حال وجود عناصر في source_databases_list، فإن هذه الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: X-Force (91034) , Secunia (SA56719).
منتج
النوع
الأسم
النسخة
الرخصة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.3VulDB الدرجة المؤقتة للميتا: 4.6
VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.6
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
استغلال
الأسم: Hashالفئة: الكشف عن المعلومات / Hash
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير مثبت
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
ترقية: cPanel 11.38.2.16/11.40.1.10/11.42.0.4
الجدول الزمني
05/02/2014 🔍05/02/2014 🔍
13/02/2014 🔍
19/11/2018 🔍
المصادر
استشارة: TSR 2014-0001الحالة: مؤكد
GCVE (VulDB): GCVE-100-12274
X-Force: 91034 - cPanel get_remote_access_hash information disclosure, Medium Risk
Secunia: 56719 - cPanel Multiple Vulnerabilities, Moderately Critical
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 13/02/2014 09:24 AMتم التحديث: 19/11/2018 09:24 AM
التغييرات: 13/02/2014 09:24 AM (44), 19/11/2018 09:24 AM (8)
كامل: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق