SocketMail 2.2.1 lostpwd.php lost_id البرمجة عبر المواقع

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
4.1$0-$5k0.00

الملخصالمعلومات

ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في SocketMail 2.2.1. المشكلة أثرت على دالة غير معروفة من الملف lostpwd.php. تؤدي عملية التلاعب بالوسيط lost_id إلى البرمجة عبر المواقع. تم تسمية الثغرة بأسمCVE-2007-5649. الهجوم يمكن أن يتم عن بُعد. علاوة على ذلك، يوجد استغلال متاح. يوصى بتثبيت تصحيح لمعالجة هذه المشكلة.

التفاصيلالمعلومات

ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في SocketMail 2.2.1. المشكلة أثرت على دالة غير معروفة من الملف lostpwd.php. تؤدي عملية التلاعب بالوسيط lost_id إلى البرمجة عبر المواقع. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-79. تم نشر الضعف 23/10/2007 (موقع إلكتروني). يمكن تحميل الاستشارة من هنا securityfocus.com.

تم تسمية الثغرة بأسمCVE-2007-5649. حدث تعيين CVE في 23/10/2007. الهجوم يمكن أن يتم عن بُعد. التفاصيل التقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم الإعلان عن الثغرة للعامة ومن الممكن استغلالها. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1059.007.

إذا كان هناك قيمة لـ فعالة للغاية، فسيتم التصريح بأنه فعالة للغاية. الإكسبلويت يمكن تحميلها من هناt exploit-db.com. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $0-$5k.

يوصى بتثبيت تصحيح لمعالجة هذه المشكلة.

إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 26138), X-Force (37382), Secunia (SA27324) , SecurityTracker (ID 1018855).

منتجالمعلومات

الأسم

النسخة

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 4.3
VulDB الدرجة المؤقتة للميتا: 4.1

VulDB الدرجة الأساسية: 4.3
VulDB الدرجة المؤقتة: 4.1
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: البرمجة عبر المواقع
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: فعالة للغاية
تحميل: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Exploit-DB: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: تصحيح
الحالة: 🔍

زمن الهجوم الفوري: 🔍

الجدول الزمنيالمعلومات

19/10/2007 🔍
23/10/2007 +3 أيام 🔍
23/10/2007 +0 أيام 🔍
23/10/2007 +0 أيام 🔍
23/10/2007 +0 أيام 🔍
24/10/2007 +1 أيام 🔍
16/03/2015 +2700 أيام 🔍
26/12/2025 +3938 أيام 🔍

المصادرالمعلومات

استشارة: securityfocus.com
الحالة: مؤكد

CVE: CVE-2007-5649 (🔍)
GCVE (CVE): GCVE-0-2007-5649
GCVE (VulDB): GCVE-100-39416
X-Force: 37382 - Socketmail lostpwd.php cross-site scripting
SecurityFocus: 26138 - SocketMail Lostpwd.PHP Cross-Site Scripting Vulnerability
Secunia: 27324 - SocketMail "lost_id" Cross-Site Scripting Vulnerability, Less Critical
SecurityTracker: 1018855

scip Labs: https://www.scip.ch/en/?labs.20161013

إدخالالمعلومات

تم الإنشاء: 16/03/2015 12:18 PM
تم التحديث: 26/12/2025 11:43 AM
التغييرات: 16/03/2015 12:18 PM (54), 10/09/2018 08:20 AM (7), 26/12/2025 11:43 AM (26)
كامل: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Do you know our Splunk app?

Download it now for free!