| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ خطيرة في PivotX حتى 2.2.3. تتعلق المشكلة بالوظيفة $software_function في المكون Password Reset. ينتج عن التلاعب حدوث تجاوز الصلاحيات.
تُعرف هذه الثغرة باسم CVE-2011-1035. لا يوجد استغلال متاح.
من المستحسن إضافة طبقة مصادقة أخرى.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ خطيرة في PivotX حتى 2.2.3. تتعلق المشكلة بالوظيفة $software_function في المكون Password Reset. ينتج عن التلاعب حدوث تجاوز الصلاحيات. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-255. المشكلة تم الإبلاغ عنها بتاريخ 16/02/2011 كـ استشارة (CERT.org). تمت مشاركة التنبيه للتنزيل على kb.cert.org.
تُعرف هذه الثغرة باسم CVE-2011-1035. حدث تعيين CVE في 18/02/2011. لا توجد تفاصيل تقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. لا يوجد استغلال متاح. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1552.
إذا كان هناك قيمة لـ إثبات المفهوم، فسيتم التصريح بأنه إثبات المفهوم. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $0-$5k. يحتوي برنامج Nessus لفحص الثغرات على ملحق بالمعرف 52038. تصنيف عائلتها هوFreeBSD Local Security Checks. إنه يعتمد على المنفذ 0. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق12496 (PivotX Password Reset Security Bypass Vulnerability).
الترقية إلى الإصدار 2.2.0 قادرة على حل هذه المشكلة. من المستحسن إضافة طبقة مصادقة أخرى.
إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 46463), X-Force (65632), Secunia (SA43417), Vulnerability Center (SBV-29980) , Tenable (52038).
منتج
الأسم
النسخة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 7.3VulDB الدرجة المؤقتة للميتا: 7.0
VulDB الدرجة الأساسية: 7.3
VulDB الدرجة المؤقتة: 7.0
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: تجاوز الصلاحياتCWE: CWE-255
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: تعرض للهجوم
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 52038
Nessus الأسم: FreeBSD : PivotX -- administrator password reset vulnerability (ae0e5835-3cad-11e0-b654-00215c6a37bb)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Port: 🔍
OpenVAS ID: 68941
OpenVAS الأسم: FreeBSD Ports: pivotx
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
Zero-Day.cz: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: توثيقالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
ترقية: PivotX 2.2.0
Fortigate IPS: 🔍
الجدول الزمني
16/02/2011 🔍16/02/2011 🔍
18/02/2011 🔍
18/02/2011 🔍
18/02/2011 🔍
18/02/2011 🔍
21/02/2011 🔍
21/02/2011 🔍
28/02/2011 🔍
02/03/2011 🔍
20/03/2015 🔍
15/01/2025 🔍
المصادر
استشارة: kb.cert.orgالحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2011-1035 (🔍)
GCVE (CVE): GCVE-0-2011-1035
GCVE (VulDB): GCVE-100-56556
CERT: 🔍
X-Force: 65632
SecurityFocus: 46463 - PivotX Password Reset Security Bypass Vulnerability
Secunia: 43417 - PivotX Password Reset Vulnerability, Highly Critical
OSVDB: 70935 - PivotX Unspecified Unauthorized Password Reset
Vulnerability Center: 29980 - PivotX \x3C2.2.4 Unspecified Remote Password Reset Vulnerability, High
Vupen: ADV-2011-0445
scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 20/03/2015 04:16 PMتم التحديث: 15/01/2025 10:28 PM
التغييرات: 20/03/2015 04:16 PM (68), 17/03/2017 07:25 AM (13), 17/10/2021 03:25 PM (3), 16/07/2024 05:43 PM (23), 01/12/2024 10:48 PM (3), 15/01/2025 10:28 PM (3)
كامل: 🔍
Cache ID: 216:739:103
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق