| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
الملخص
تم أيجاد ثغرة أمنية بصنف مشكلة صعبة الحل. في LetoDMS 1.5.0/1.5.1/1.6.0/1.7.0/1.7.2. تتأثر الوظيفة $software_function من الملف op/op.Login.php من المكون تسجيل دخول. تؤدي عملية التلاعب بالوسيط lang إلى اجتياز الدليل.
يتم تداول هذه الثغرة تحت اسم CVE-2010-2006. علاوة على ذلك، يوجد استغلال متاح.
التفاصيل
تم أيجاد ثغرة أمنية بصنف مشكلة صعبة الحل. في LetoDMS 1.5.0/1.5.1/1.6.0/1.7.0/1.7.2. تتأثر الوظيفة $software_function من الملف op/op.Login.php من المكون تسجيل دخول. تؤدي عملية التلاعب بالوسيط lang إلى اجتياز الدليل. عند استخدام CWE لتحديد المشكلة، سيتم التوجيه إلى CWE-22. تم اكتشاف الثغرة في 09/10/2009. المشكلة تم نشرها بتاريخ 15/01/2010 مع SEC Consult (موقع إلكتروني). الاستشارة متوفرة هنا sec-consult.com.
يتم تداول هذه الثغرة تحت اسم CVE-2010-2006. تم تعيين CVE في 20/05/2010. التفاصيل التقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم الكشف عن الاستغلال للعامة وقد يتم استخدامه. مشروع ميتري اتاك يصنف اسلوب الهجوم هذا على انه T1006.
إذا تم تحديد إثبات المفهوم، فإنه يُعلن كـ إثبات المفهوم. الاستغلال متاح للتنزيل عبر exploit-db.com. تم اعتبار الثغرة استغلال يوم-صفر غير معلن لمدة لا تقل عن 98 يومًا. لكونها ثغرة هجوم فوري متوسط سعرها كان$0-$5k. برنامج فحص الشبكات نيسوس يوفر ملحق بعنوان51557(Debian DSA-2146-1 : mydms - directory traversal), يمكنك من الكشف عن وجود هذه الثغرة. تم تصنيفه ضمن عائلة Debian Local Security Checks. وهو يعتمد على المنفذ0.
إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 37828), X-Force (55709), Secunia (SA38237), Vulnerability Center (SBV-29347) , Tenable (51557).
منتج
الأسم
النسخة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 6.3VulDB الدرجة المؤقتة للميتا: 5.7
VulDB الدرجة الأساسية: 6.3
VulDB الدرجة المؤقتة: 5.7
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: اجتياز الدليلCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 51557
Nessus الأسم: Debian DSA-2146-1 : mydms - directory traversal
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Port: 🔍
OpenVAS ID: 68982
OpenVAS الأسم: Debian Security Advisory DSA 2146-1 (mydms)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔍
الجدول الزمني
09/10/2009 🔍15/01/2010 🔍
15/01/2010 🔍
15/01/2010 🔍
19/01/2010 🔍
19/01/2010 🔍
20/05/2010 🔍
20/05/2010 🔍
18/01/2011 🔍
24/01/2011 🔍
19/03/2015 🔍
16/09/2025 🔍
المصادر
استشارة: DSA-2146منظمة: SEC Consult
الحالة: غير معرفة
CVE: CVE-2010-2006 (🔍)
GCVE (CVE): GCVE-0-2010-2006
GCVE (VulDB): GCVE-100-53300
OVAL: 🔍
X-Force: 55709
SecurityFocus: 37828 - LetoDMS 'lang' Parameter Local File Include Vulnerability
Secunia: 38237 - LetoDMS Local File Inclusion and Cross-Site Request Forgery Vulnerabilities, Moderately Critical
OSVDB: 61834 - LetoDMS op/op.Login.php lang Parameter Traversal Local File Inclusion
Vulnerability Center: 29347 - LetoDMS 1.7.2 Remote Directory traversal Vulnerability via \x27dot dot\x27 in the Lang Parameter, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 19/03/2015 12:22 PMتم التحديث: 16/09/2025 02:46 PM
التغييرات: 19/03/2015 12:22 PM (67), 16/08/2017 04:22 AM (13), 14/09/2021 07:23 AM (3), 14/09/2021 07:29 AM (1), 14/09/2021 07:35 AM (2), 16/09/2025 02:46 PM (25)
كامل: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق