Sun Java System Identity Manager حتى 7.0 helpServer.jsp ext اجتياز الدليل

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
7.1$0-$5k0.00

الملخصالمعلومات

تم التعرف على ثغرة أمنية في Sun Java System Identity Manager حتى 7.0. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية أثرت على دالة غير معروفة من الملف /idm/includes/helpServer.jsp. عند التلاعب بالوسيط ext ينتج اجتياز الدليل. الثغرة الأمنية هذه تم تسميتهاCVE-2008-5116. هنالك إكسبلويت متوفرة.

التفاصيلالمعلومات

تم التعرف على ثغرة أمنية في Sun Java System Identity Manager حتى 7.0. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية أثرت على دالة غير معروفة من الملف /idm/includes/helpServer.jsp. عند التلاعب بالوسيط ext ينتج اجتياز الدليل. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-22. تم إصدار التحذير حول الضعف 11/11/2008 عن طريق Richard Brain بالتعاون مع ProCheckUp Ltd. (موقع إلكتروني). يمكن قراءة الاستشارة من هنا sunsolve.sun.com.

الثغرة الأمنية هذه تم تسميتهاCVE-2008-5116. تم إصدار CVE في 17/11/2008. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1006.

إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. يمكن تحميل الإكسبلويت من هناsecurityfocus.com. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $5k-$25k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 38695. تم إسناده إلى عائلة CGI abuses.

الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 32262), X-Force (46554), Secunia (SA32606), SecurityTracker (ID 1021170) , Vulnerability Center (SBV-21982).

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

الدعم

  • end of life (old version)

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 7.5
VulDB الدرجة المؤقتة للميتا: 7.1

VulDB الدرجة الأساسية: 7.5
VulDB الدرجة المؤقتة: 7.1
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: اجتياز الدليل
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 38695
Nessus الأسم: Sun Java System Identity Manager ext Parameter Arbitrary File Retrieval
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: لا يوجد تخفيف معروف
الحالة: 🔍

زمن الهجوم الفوري: 🔍
وقت تأخير الاستغلال: 🔍

الجدول الزمنيالمعلومات

11/11/2008 🔍
11/11/2008 +0 أيام 🔍
11/11/2008 +0 أيام 🔍
12/11/2008 +0 أيام 🔍
12/11/2008 +0 أيام 🔍
17/11/2008 +4 أيام 🔍
17/11/2008 +0 أيام 🔍
19/11/2008 +2 أيام 🔍
06/05/2009 +168 أيام 🔍
11/05/2009 +5 أيام 🔍
17/03/2015 +2136 أيام 🔍
03/08/2021 +2331 أيام 🔍

المصادرالمعلومات

المجهز: oracle.com

استشارة: sunsolve.sun.com
باحث: Richard Brain
منظمة: ProCheckUp Ltd.
الحالة: مؤكد

CVE: CVE-2008-5116 (🔍)
GCVE (CVE): GCVE-0-2008-5116
GCVE (VulDB): GCVE-100-45067
X-Force: 46554
SecurityFocus: 32262 - Sun Java System Identity Manager Multiple Vulnerabilities
Secunia: 32606
OSVDB: 49767 - Sun Java System Identity Manager /idm/includes/helpServer.jsp ext parameter Arbitrary Remote File Access
SecurityTracker: 1021170 - Sun Java System Identity Manager Bugs Permit Cross-Site Scripting and Cross-Site Request Forgery Attacks and Disclose Files to Remote Users
Vulnerability Center: 21982 - Sun Java System Identity Manager 6.0-6.0 SP4, 7.0, 7.1 Remote Unauthorized Access Vulnerability, Medium
Vupen: ADV-2008-3128

scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 17/03/2015 04:11 PM
تم التحديث: 03/08/2021 09:07 AM
التغييرات: 17/03/2015 04:11 PM (70), 23/08/2017 11:48 AM (13), 03/08/2021 09:07 AM (3)
كامل: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!