Mantis حتى 1.1.3 Utility manage_proj_page.php multi_sort تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
9.5$0-$5k0.00

الملخصالمعلومات

هناك ثغرة تم تصنيفها كـ خطيرة تم اكتشافها في Mantis حتى 1.1.3. تتعلق المشكلة بوظيفة غير معروفة في الملف manage_proj_page.php في المكون Utility. ينتج عن التلاعب بالمعامل sort حدوث تجاوز الصلاحيات. تحمل هذه الثغرة المعرف CVE-2008-4687. أيضًا، هناك استغلال متوفر. يُفضل ترقية المكون المصاب.

التفاصيلالمعلومات

هناك ثغرة تم تصنيفها كـ خطيرة تم اكتشافها في Mantis حتى 1.1.3. تتعلق المشكلة بوظيفة غير معروفة في الملف manage_proj_page.php في المكون Utility. ينتج عن التلاعب بالمعامل sort حدوث تجاوز الصلاحيات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-94. تم اكتشاف الخلل بتاريخ 16/10/2008. المشكلة تمت مشاركتها بتاريخ 22/10/2008 بواسطة EgiX (موقع إلكتروني). يمكنك تنزيل التنبيه من bugs.gentoo.org.

تحمل هذه الثغرة المعرف CVE-2008-4687. تم تخصيص CVE في 22/10/2008. يوجد شرح تقني متاح. هذه الثغرة ليست شائعة مقارنة بالمتوسط. أيضًا، هناك استغلال متوفر. تم إتاحة الاستغلال للجمهور وقد يتم استغلاله. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1059.

في حال وجود فعالة للغاية، يتم الإعلان عنه كـ فعالة للغاية. يمكن تحميل الاستغلال من securityfocus.com. تمت معالجة الثغرة كاستغلال يوم-صفر خاص لمدة لا تقل عن 6 يومًا. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $0-$5k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 35057. تصنيف عائلتها هوFreeBSD Local Security Checks. يعمل المكون الإضافي في سياق النوع l. يعتمد على المنفذ 0.

يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 1.0.2. يُفضل ترقية المكون المصاب. تم نشر إجراء تخفيف محتمل 2 أشهر بعد الكشف عن الثغرة.

كما أنه من الممكن اكتشاف ومنع هذا النوع من الهجمات عبر TippingPoint وفلتر 31755. في حال وجود عناصر في source_databases_list، فإن هذه الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 31789), X-Force (45942), Secunia (SA32314), Vulnerability Center (SBV-20145) , Tenable (35057).

منتجالمعلومات

النوع

الأسم

النسخة

الرخصة

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 9.9
VulDB الدرجة المؤقتة للميتا: 9.5

VulDB الدرجة الأساسية: 9.9
VulDB الدرجة المؤقتة: 9.5
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: فعالة للغاية
تحميل: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 35057
Nessus الأسم: FreeBSD : mantis -- php code execution vulnerability (af2745c0-c3e0-11dd-a721-0030843d3802)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 62857
OpenVAS الأسم: FreeBSD Ports: mantis
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

MetaSploit ID: mantisbt_manage_proj_page_rce.rb
MetaSploit الأسم: Mantis manage_proj_page PHP Code Execution
MetaSploit ملف: 🔍

Exploit-DB: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍

ترقية: Mantis 1.0.2
TippingPoint: 🔍

الجدول الزمنيالمعلومات

16/10/2008 🔍
16/10/2008 +0 أيام 🔍
16/10/2008 +0 أيام 🔍
17/10/2008 +1 أيام 🔍
22/10/2008 +5 أيام 🔍
22/10/2008 +0 أيام 🔍
22/10/2008 +0 أيام 🔍
06/12/2008 +45 أيام 🔍
07/12/2008 +1 أيام 🔍
08/12/2008 +1 أيام 🔍
17/03/2015 +2290 أيام 🔍
08/11/2024 +3524 أيام 🔍

المصادرالمعلومات

استشارة: bugs.gentoo.org
باحث: EgiX
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2008-4687 (🔍)
GCVE (CVE): GCVE-0-2008-4687
GCVE (VulDB): GCVE-100-44658
X-Force: 45942
SecurityFocus: 31789 - Mantis 'manage_proj_page.php' PHP Code Injection Vulnerability
Secunia: 32314 - Mantis "sort" PHP Code Execution Vulnerability, Moderately Critical
OSVDB: 49157 - CVE-2008-4687 - Mantis - Code Execution Issue
Vulnerability Center: 20145 - Mantis < 1.1.4 manage_proj_page.php Remote Code Execution, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 17/03/2015 04:11 PM
تم التحديث: 08/11/2024 04:07 AM
التغييرات: 17/03/2015 04:11 PM (86), 21/08/2019 02:46 PM (10), 08/11/2024 04:07 AM (19)
كامل: 🔍
Cache ID: 216:1A2:103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Do you know our Splunk app?

Download it now for free!