Django حتى 1.7 Header REMOTE_USER توثيق ضعيف

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
4.6$0-$5k0.00

الملخصالمعلومات

تم اكتشاف ثغرة مصنفة كـ خطيرة في Django. تتعلق المشكلة بالوظيفة $software_function في المكون Header Handler. تؤدي عملية التلاعب بالوسيط REMOTE_USER إلى توثيق ضعيف. تُعرف هذه الثغرة باسم CVE-2014-0482. الإكسبلويت غير متوفرة. يوصى بترقية العنصر المتأثر.

التفاصيلالمعلومات

تم اكتشاف ثغرة مصنفة كـ خطيرة في Django. تتعلق المشكلة بالوظيفة $software_function في المكون Header Handler. تؤدي عملية التلاعب بالوسيط REMOTE_USER إلى توثيق ضعيف. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-287. المشكلة تم الإبلاغ عنها بتاريخ 27/08/2014 بواسطة David Greisen مع isen كـ Bug 1132776 كـ Bug Report (Bugzilla). تمت مشاركة التنبيه للتنزيل على bugzilla.redhat.com.

تُعرف هذه الثغرة باسم CVE-2014-0482. تم إصدار CVE في 19/12/2013. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة.

بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $5k-$25k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 82210. أنها مصنفة إلى عائلةDebian Local Security Checks. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق123242 (Fedora Security Update for python-django14 (FEDORA-2015-0804)).

يوصى بترقية العنصر المتأثر.

الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 69430), X-Force (95569), Secunia (SA59782), Vulnerability Center (SBV-45965) , Tenable (82210).

منتجالمعلومات

النوع

الأسم

النسخة

الرخصة

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 5.3
VulDB الدرجة المؤقتة للميتا: 4.6

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.6
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: توثيق ضعيف
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: غير مثبت

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 82210
Nessus الأسم: Debian DLA-65-1 : python-django security update
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍

OpenVAS ID: 703010
OpenVAS الأسم: Debian Security Advisory DSA 3010-1 (python-django - security update)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

Qualys ID: 🔍
Qualys الأسم: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

الجدول الزمنيالمعلومات

19/12/2013 🔍
22/08/2014 +246 أيام 🔍
26/08/2014 +4 أيام 🔍
26/08/2014 +0 أيام 🔍
27/08/2014 +1 أيام 🔍
28/08/2014 +1 أيام 🔍
29/08/2014 +1 أيام 🔍
01/09/2014 +3 أيام 🔍
15/02/2022 +2724 أيام 🔍

المصادرالمعلومات

استشارة: Bug 1132776
باحث: David Greisen
منظمة: isen
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2014-0482 (🔍)
GCVE (CVE): GCVE-0-2014-0482
GCVE (VulDB): GCVE-100-67427

OVAL: 🔍

X-Force: 95569 - Django REMOTE_USER header security bypass, Medium Risk
SecurityFocus: 69430 - Django CVE-2014-0482 Authentication Bypass Vulnerability
Secunia: 59782 - Debian update for python-django, Less Critical
Vulnerability Center: 45965 - Django 1.4.x, 1.5.x, 1.6.x, and 1.7 Remote Information Discosure and DoS Vulnerabilities via Session Hijacking, Medium

اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 29/08/2014 10:18 AM
تم التحديث: 15/02/2022 07:32 AM
التغييرات: 29/08/2014 10:18 AM (79), 05/06/2017 10:44 AM (4), 15/02/2022 07:27 AM (3), 15/02/2022 07:32 AM (1)
كامل: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!