| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 9.0 | $0-$5k | 1.61 |
الملخص
لقد تم العثور على ثغرة تم تصنيفها كـ خطيرة ضمن HP Power Manager حتى 4.2.6. تتأثر وظيفة غير معروفة. تؤدي عملية التلاعب بالوسيط fileName إلى اجتياز الدليل. تم تسجيل هذه الثغرة تحت الرمز CVE-2009-4000. لا يتوفر أي استغلال. ننصح بـ تحديث المكون المتأثر بهذه الثغرة.
التفاصيل
لقد تم العثور على ثغرة تم تصنيفها كـ خطيرة ضمن HP Power Manager حتى 4.2.6. تتأثر وظيفة غير معروفة. تؤدي عملية التلاعب بالوسيط fileName إلى اجتياز الدليل. استخدام CWE للإعلان عن المشكلة يؤدي إلى CWE-22. المشكلة تم الافصاح عنها بتاريخ 20/01/2010 بواسطة Alin Rad Pop مع Secunia Research (موقع إلكتروني). التنبيه متاح للتنزيل عبر securityfocus.com.
تم تسجيل هذه الثغرة تحت الرمز CVE-2009-4000. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال. اسلوب الهجوم المستخدم يسمىT1006 بحسب مشروع ميتري اتاك.
تم أعتبراها على أنها غير معرفة. بما أنها ثغرة هجوم فوري فقد كان متوسط سعرها هو تقريبا$5k-$25k. برنامج نيسوس لفحص الشبكات يوفر ملحق بعنوان44109(HP Power Manager < 4.2.10), يمكنك من البحث عن وجود هذه الثغرة الأمنية. أنها مصنفة إلى عائلةCGI abuses.
تحديث النسخة إلى إصدار4.2.7 يمكن أن يحل هذه المشكلة. ننصح بـ تحديث المكون المتأثر بهذه الثغرة.
بالاضافة إلى هذا يمكن الكشف ومنع مثل هذه الهجمات عن طريق أستخدام برنامج تبنك بوينت مع الفلتر هذا9452. إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 37873), SecurityTracker (ID 1023470), Vulnerability Center (SBV-24674) , Tenable (44109).
منتج
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
- المجهز: https://www.hp.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 10.0VulDB الدرجة المؤقتة للميتا: 9.0
VulDB الدرجة الأساسية: 10.0
VulDB الدرجة المؤقتة: 9.0
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: اجتياز الدليلCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 44109
Nessus الأسم: HP Power Manager < 4.2.10
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
OpenVAS ID: 100457
OpenVAS الأسم: HP Power Manager Multiple Remote Code Execution Vulnerabilities
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔍
ترقية: Power Manager 4.2.7
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS النسخة: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
الجدول الزمني
19/11/2009 🔍19/01/2010 🔍
20/01/2010 🔍
20/01/2010 🔍
20/01/2010 🔍
25/01/2010 🔍
18/03/2015 🔍
11/04/2025 🔍
المصادر
المجهز: hp.comاستشارة: securityfocus.com⛔
باحث: Alin Rad Pop
منظمة: Secunia Research
الحالة: مؤكد
CVE: CVE-2009-4000 (🔍)
GCVE (CVE): GCVE-0-2009-4000
GCVE (VulDB): GCVE-100-51629
SecurityFocus: 37873 - HP Power Manager 'formExportDataLogs' Directory Traversal Remote Code Execution Vulnerability
SecurityTracker: 1023470
Vulnerability Center: 24674 - HP Power Manager \x3C4.2.10 Arbitrary Code Execution Vulnerability via Directory Traversal Sequences, Critical
scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 18/03/2015 03:15 PMتم التحديث: 11/04/2025 10:34 AM
التغييرات: 18/03/2015 03:15 PM (63), 20/02/2017 10:11 AM (11), 31/08/2021 12:46 PM (3), 31/08/2021 12:53 PM (2), 28/07/2024 03:58 PM (18), 11/04/2025 10:34 AM (8)
كامل: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.

لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق