Digium Asterisk حتى 1.2.0 Beta1 vmail.cgi folder اجتياز الدليل

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
5.0$0-$5k0.00

الملخصالمعلومات

هناك ثغرة تم تصنيفها كـ مشكلة صعبة الحل تم اكتشافها في Digium Asterisk. تتعلق المشكلة بوظيفة غير معروفة في الملف vmail.cgi. ينتج عن التلاعب بالمعامل folder حدوث اجتياز الدليل. تحمل هذه الثغرة المعرف CVE-2005-3559. علاوة على ذلك، يوجد استغلال متاح.

التفاصيلالمعلومات

هناك ثغرة تم تصنيفها كـ مشكلة صعبة الحل تم اكتشافها في Digium Asterisk. تتعلق المشكلة بوظيفة غير معروفة في الملف vmail.cgi. ينتج عن التلاعب بالمعامل folder حدوث اجتياز الدليل. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-22. تم التعرف على الثغرة بتاريخ 17/10/2005. المشكلة تمت مشاركتها بتاريخ 07/11/2005 بواسطة Adam Pointon (موقع إلكتروني). يمكنك تنزيل التنبيه من assurance.com.au.

تحمل هذه الثغرة المعرف CVE-2005-3559. تم إصدار CVE في 16/11/2005. التفاصيل التقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1006.

إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. يمكن تحميل الاستغلال من exploit-db.com. تم تصنيف الثغرة كاستغلال يوم-صفر غير معلن لمدة لا تقل عن 21 يومًا. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $0-$5k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 22590. هو يعتمد على المنفذ 0.

إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 15336), X-Force (23002), Secunia (SA17459), SecurityTracker (ID 1015164) , Vulnerability Center (SBV-17305).

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 5.3
VulDB الدرجة المؤقتة للميتا: 5.0

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 5.0
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: اجتياز الدليل
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 22590
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus Port: 🔍

OpenVAS ID: 56668
OpenVAS الأسم: Debian Security Advisory DSA 1048-1 (asterisk)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

Exploit-DB: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: لا يوجد تخفيف معروف
الحالة: 🔍

زمن الهجوم الفوري: 🔍

الجدول الزمنيالمعلومات

17/10/2005 🔍
07/11/2005 +21 أيام 🔍
07/11/2005 +0 أيام 🔍
07/11/2005 +0 أيام 🔍
07/11/2005 +0 أيام 🔍
08/11/2005 +0 أيام 🔍
08/11/2005 +0 أيام 🔍
16/11/2005 +7 أيام 🔍
16/11/2005 +0 أيام 🔍
10/01/2008 +785 أيام 🔍
11/03/2015 +2617 أيام 🔍
26/10/2024 +3517 أيام 🔍

المصادرالمعلومات

المجهز: digium.com

استشارة: assurance.com.au
باحث: Adam Pointon
الحالة: مؤكد

CVE: CVE-2005-3559 (🔍)
GCVE (CVE): GCVE-0-2005-3559
GCVE (VulDB): GCVE-100-26892
X-Force: 23002
SecurityFocus: 15336 - Asterisk Voicemail Unauthorized Access Vulnerability
Secunia: 17459
OSVDB: 20577 - Asterisk vmail.cgi folder Variable Traversal Arbitrary .wav File Access
SecurityTracker: 1015164
Vulnerability Center: 17305 - Asterisk 1.0.9 through 1.2.0-beta1 Directory Traversal Allows Remote Access to WAV Files, Medium
Vupen: ADV-2005-2346

scip Labs: https://www.scip.ch/en/?labs.20161013

إدخالالمعلومات

تم الإنشاء: 11/03/2015 11:39 PM
تم التحديث: 26/10/2024 04:47 AM
التغييرات: 11/03/2015 11:39 PM (74), 03/08/2019 09:45 AM (6), 06/07/2021 02:40 PM (3), 26/10/2024 04:47 AM (17)
كامل: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Do you want to use VulDB in your project?

Use the official API to access entries easily!