Waitress حتى 1.3.1 HTTP Header Content-Length HTTP Smuggling تجاوز الصلاحيات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
الملخص
لقد تم العثور على ثغرة تم تصنيفها كـ خطيرة ضمن Waitress حتى 1.3.1. تتأثر وظيفة غير معروفة من المكون HTTP Header Handler. تؤدي عملية التلاعب بالوسيط Content-Length كجزء من طلب إلى تجاوز الصلاحيات (HTTP Smuggling). تم تسجيل هذه الثغرة تحت الرمز CVE-2019-16792. يمكن البدأ بالهجوم هذا عن بعد. لا يتوفر أي استغلال.
التفاصيل
لقد تم العثور على ثغرة تم تصنيفها كـ خطيرة ضمن Waitress حتى 1.3.1. تتأثر وظيفة غير معروفة من المكون HTTP Header Handler. تؤدي عملية التلاعب بالوسيط Content-Length كجزء من طلب إلى تجاوز الصلاحيات (HTTP Smuggling). أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-444. المشكلة تم الافصاح عنها بتاريخ 22/01/2020 (GitHub Repository). التنبيه متاح للتنزيل عبر github.com.
تم تسجيل هذه الثغرة تحت الرمز CVE-2019-16792. تم إصدار CVE في 24/09/2019. يمكن البدأ بالهجوم هذا عن بعد. تتوفر معلومات تقنية. درجة تعقيد الهجوم عالية. تمت الإشارة إلى أن استغلال الثغرة صعب. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال.
إذا وُجد غير معرفة، فإنه يُصرح به كـ غير معرفة. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $0-$5k.
منتج
الأسم
النسخة
الرخصة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 6.7VulDB الدرجة المؤقتة للميتا: 6.6
VulDB الدرجة الأساسية: 6.0
VulDB الدرجة المؤقتة: 5.6
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 7.1
NVD متجه: 🔍
CNA الدرجة الأساسية: 7.1
CNA متجه (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الأسم: HTTP Smugglingالفئة: تجاوز الصلاحيات / HTTP Smuggling
CWE: CWE-444
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔍
تصحيح: github.com
الجدول الزمني
24/09/2019 🔍22/01/2020 🔍
23/01/2020 🔍
25/03/2024 🔍
المصادر
استشارة: 575994cd42e83fd772a5f7ec98b2c56751bd3f65الحالة: غير معرفة
CVE: CVE-2019-16792 (🔍)
GCVE (CVE): GCVE-0-2019-16792
GCVE (VulDB): GCVE-100-149237
إدخال
تم الإنشاء: 23/01/2020 07:44 AMتم التحديث: 25/03/2024 10:05 AM
التغييرات: 23/01/2020 07:44 AM (39), 23/01/2020 07:49 AM (11), 25/03/2024 10:02 AM (18), 25/03/2024 10:05 AM (20)
كامل: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق