VDB-9673 · CVE-2013-1896 · XFDB 85574

Apache HTTP Server حتى 2.4.4 mod_dav mod_dav.c طلب تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتا	سعر الإكسبلويت الحالي (≈)	درجة اهتمام CTI
6.7	$0-$5k	0.00

الملخصالمعلومات

ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في Apache HTTP Server حتى 2.4.4. المشكلة أثرت على دالة غير معروفة من الملف mod_dav.c من العنصر mod_dav. عند التلاعب في إطار طلب ينتج تجاوز الصلاحيات. تم تسمية الثغرة بأسمCVE-2013-1896. بالإضافة إلى ذلك، يتوفر استغلال. يُفضل ترقية المكون المصاب.

التفاصيلالمعلومات

ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في Apache HTTP Server حتى 2.4.4. المشكلة أثرت على دالة غير معروفة من الملف mod_dav.c من العنصر mod_dav. عند التلاعب في إطار طلب ينتج تجاوز الصلاحيات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-264. تم نشر الضعف 23/05/2012 بواسطة Ben Riser كـ استشارة (Apache SVN). يمكن تحميل الاستشارة من هنا svn.apache.org.

تم تسمية الثغرة بأسمCVE-2013-1896. تم تخصيص CVE في 19/02/2013. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. بالإضافة إلى ذلك، يتوفر استغلال. تم إتاحة الاستغلال للجمهور وقد يتم استغلاله. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1068.

في حال وجود إثبات المفهوم، يتم الإعلان عنه كـ إثبات المفهوم. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $25k-$100k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 69342. يعتمد على المنفذ 0. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق123974 (IBM WebSphere Application Server Multiple Vulnerabilities (swg21644047)).

يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 2.4.6. التحديث متوفر للتنزيل على svn.apache.org. يُفضل ترقية المكون المصاب.

كما أنه من الممكن اكتشاف ومنع هذا النوع من الهجمات عبر TippingPoint وفلتر 13178. إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 61129), X-Force (85574), Secunia (SA54173), Vulnerability Center (SBV-54047) , Tenable (69342).

منتجالمعلومات

النوع

Web Server

المجهز

Apache

الأسم

HTTP Server

النسخة

الرخصة

مفتوح المصدر

موقع إلكتروني

المجهز: https://www.apache.org/

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 7.5
VulDB الدرجة المؤقتة للميتا: 6.7

VulDB الدرجة الأساسية: 7.5
VulDB الدرجة المؤقتة: 6.7
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

متجه	التعقيد	توثيق	السرية	الأمانة	التوفر
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح
افتح	افتح	افتح	افتح	افتح	افتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Day	افتح	افتح	افتح	افتح
اليوم	افتح	افتح	افتح	افتح

Nessus ID: 69342
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus Port: 🔍

OpenVAS ID: 103122
OpenVAS الأسم: Apache HTTP Server mod_dav_svn Denial of Service Vulnerability (Windows)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

Qualys ID: 🔍
Qualys الأسم: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
وقت تأخير الاستغلال: 🔍

ترقية: HTTP Server 2.4.6
تصحيح: svn.apache.org
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS النسخة: 🔍

Fortigate IPS: 🔍

الجدول الزمنيالمعلومات

23/05/2012 🔍
23/05/2012 +0 أيام 🔍
23/05/2012 +0 أيام 🔍
19/02/2013 +272 أيام 🔍
10/07/2013 +140 أيام 🔍
10/07/2013 +0 أيام 🔍
10/07/2013 +0 أيام 🔍
16/07/2013 +6 أيام 🔍
23/07/2013 +7 أيام 🔍
14/08/2013 +22 أيام 🔍
30/10/2015 +807 أيام 🔍
20/05/2021 +2029 أيام 🔍

المصادرالمعلومات

المجهز: apache.org

استشارة: svn.apache.org
باحث: Ben Riser
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2013-1896 (🔍)
GCVE (CVE): GCVE-0-2013-1896
GCVE (VulDB): GCVE-100-9673

OVAL: 🔍
IAVM: 🔍

X-Force: 85574
SecurityFocus: 61129
Secunia: 54173 - Ubuntu update for apache2, Moderately Critical
OSVDB: 95498
Vulnerability Center: 54047 - Apache HTTP Server 2 Before 2.2.25 Remote DoS Vulnerability via Crafted MERGE Request, Medium

اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 23/07/2013 10:56 AM
تم التحديث: 20/05/2021 02:27 PM
التغييرات: 23/07/2013 10:56 AM (89), 02/03/2018 09:38 AM (2), 20/05/2021 02:25 PM (4), 20/05/2021 02:27 PM (1)
كامل: 🔍
المتعهد:
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!