Apache Subversion حتى 1.6.21 svn-keyword-check.pl svnlook changed تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
8.9$0-$5k0.00

الملخصالمعلومات

تم أكتشاف ثغرة أمنية في Apache Subversion. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية متواجدة في الدالة svnlook changed من الملف contrib/hook-scripts/svn-keyword-check.pl. عند التلاعب ينتج تجاوز الصلاحيات. أسم الثغرة الأمنية هوCVE-2013-2088. علاوة على ذلك، يوجد استغلال متاح. من المستحسن تطبيق تحديث لإصلاح هذه المشكلة.

التفاصيلالمعلومات

تم أكتشاف ثغرة أمنية في Apache Subversion. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية متواجدة في الدالة svnlook changed من الملف contrib/hook-scripts/svn-keyword-check.pl. عند التلاعب ينتج تجاوز الصلاحيات. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-20. تم الإعلان عن الثغرة 31/05/2013 من قبل Daniel Shahaf من خلال elego Software Solutions GmbH كنوع استشارة (موقع إلكتروني). يمكن عرض الاستشارة من هنا subversion.apache.org.

أسم الثغرة الأمنية هوCVE-2013-2088. تم إصدار CVE في 19/02/2013. التفاصيل التقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم.

إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. تستطيع تحميل الإكسبلويت من هنا exploit-db.com. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $25k-$100k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 71566. ينتمي إلى عائلة Windows. يتم تشغيل البرنامج المساعد ضمن نوع l. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق121469 (Apache Subversion Multiple Security Vulnerabilities).

حل هذه المشكلة ممكن عبر الترقية إلى الإصدار 1.6.23, 1.7.11 , 1.8.0. يمكنك تنزيل التصحيح من mail-archives.apache.org. من المستحسن تطبيق تحديث لإصلاح هذه المشكلة.

إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 60265), Secunia (SA53727) , Tenable (71566).

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 9.9
VulDB الدرجة المؤقتة للميتا: 8.9

VulDB الدرجة الأساسية: 9.9
VulDB الدرجة المؤقتة: 8.9
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 71566
Nessus الأسم: Apache Subversion 1.6.x / 1.7.x / 1.8.x < 1.6.23 / 1.7.11 / 1.8.1 Multiple Vulnerabilities
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍

OpenVAS ID: 866461
OpenVAS الأسم: Fedora Update for subversion FEDORA-2013-13672
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

Qualys ID: 🔍
Qualys الأسم: 🔍

Exploit-DB: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: تصحيح
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍

ترقية: Subversion 1.6.23/1.7.11/1.8.0
تصحيح: mail-archives.apache.org

الجدول الزمنيالمعلومات

19/02/2013 🔍
31/05/2013 +101 أيام 🔍
31/05/2013 +0 أيام 🔍
03/06/2013 +3 أيام 🔍
03/06/2013 +0 أيام 🔍
04/06/2013 +1 أيام 🔍
31/07/2013 +57 أيام 🔍
20/12/2013 +142 أيام 🔍
08/12/2024 +4006 أيام 🔍

المصادرالمعلومات

المجهز: apache.org

استشارة: subversion.apache.org
باحث: Daniel Shahaf
منظمة: elego Software Solutions GmbH
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2013-2088 (🔍)
GCVE (CVE): GCVE-0-2013-2088
GCVE (VulDB): GCVE-100-8932

OVAL: 🔍

SecurityFocus: 60265 - Apache Subversion CVE-2013-2088 Command Injection Vulnerability
Secunia: 53727 - Apache Subversion Hook Scripts Arbitrary Command Injection Vulnerability, Moderately Critical
OSVDB: 93793

scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 04/06/2013 11:33 AM
تم التحديث: 08/12/2024 10:42 AM
التغييرات: 04/06/2013 11:33 AM (81), 28/04/2019 09:44 PM (5), 08/12/2024 10:42 AM (16)
كامل: 🔍
المتعهد:
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Interested in the pricing of exploits?

See the underground prices here!