lukehutch Gribbit HttpRequestHandler.java messageReceived Privilege Escalation

Es wurde eine problematische Schwachstelle in lukehutch Gribbit ausgemacht. Hiervon betroffen ist die Funktion messageReceived der Datei src/gribbit/request/HttpRequestHandler.java. Durch Manipulation mit unbekannten Daten kann eine Privilege Escalation-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-1385 vorgenommen. Die Schwachstelle wurde am 09.01.2023 als 620418df247aebda3dd4be1dda10fe229ea505dd publik gemacht. Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2014-125071 geführt. Der Angriff kann im lokalen Netzwerk angegangen werden. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Er gilt als nicht definiert. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt. Der Patch wird als 620418df247aebda3dd4be1dda10fe229ea505dd bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Feld09.01.2023 21:5030.01.2023 15:34
vendorlukehutchlukehutch
nameGribbitGribbit
filesrc/gribbit/request/HttpRequestHandler.javasrc/gribbit/request/HttpRequestHandler.java
functionmessageReceivedmessageReceived
cwe13851385
risk11
cvss3_vuldb_acLL
cvss3_vuldb_sUU
cvss3_vuldb_cLL
cvss3_vuldb_iLL
cvss3_vuldb_aLL
cvss3_vuldb_rlOO
cvss3_vuldb_rcCC
identifier620418df247aebda3dd4be1dda10fe229ea505dd620418df247aebda3dd4be1dda10fe229ea505dd
urlhttps://github.com/lukehutch/gribbit/commit/620418df247aebda3dd4be1dda10fe229ea505ddhttps://github.com/lukehutch/gribbit/commit/620418df247aebda3dd4be1dda10fe229ea505dd
namePatchPatch
patch_name620418df247aebda3dd4be1dda10fe229ea505dd620418df247aebda3dd4be1dda10fe229ea505dd
patch_urlhttps://github.com/lukehutch/gribbit/commit/620418df247aebda3dd4be1dda10fe229ea505ddhttps://github.com/lukehutch/gribbit/commit/620418df247aebda3dd4be1dda10fe229ea505dd
advisoryquoteProtect against CSWSH: (Cross-Site WebSocket Hijacking)Protect against CSWSH: (Cross-Site WebSocket Hijacking)
cveCVE-2014-125071CVE-2014-125071
responsibleVulDBVulDB
date1673218800 (09.01.2023)1673218800 (09.01.2023)
cvss2_vuldb_acLL
cvss2_vuldb_ciPP
cvss2_vuldb_iiPP
cvss2_vuldb_aiPP
cvss2_vuldb_rcCC
cvss2_vuldb_rlOFOF
cvss2_vuldb_avAA
cvss2_vuldb_auSS
cvss2_vuldb_eNDND
cvss3_vuldb_avAA
cvss3_vuldb_prLL
cvss3_vuldb_uiNN
cvss3_vuldb_eXX
cvss2_vuldb_basescore5.25.2
cvss2_vuldb_tempscore4.54.5
cvss3_vuldb_basescore5.55.5
cvss3_vuldb_tempscore5.35.3
cvss3_meta_basescore5.55.5
cvss3_meta_tempscore5.35.3
price_0day$0-$5k$0-$5k
cve_assigned1673218800 (09.01.2023)
cve_nvd_summaryA vulnerability was found in lukehutch Gribbit. It has been classified as problematic. Affected is the function messageReceived of the file src/gribbit/request/HttpRequestHandler.java. The manipulation leads to missing origin validation in websockets. The name of the patch is 620418df247aebda3dd4be1dda10fe229ea505dd. It is recommended to apply a patch to fix this issue. The identifier of this vulnerability is VDB-217716.

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!