lukehutch Gribbit HttpRequestHandler.java messageReceived Privilege Escalation
Es wurde eine problematische Schwachstelle in lukehutch Gribbit ausgemacht. Hiervon betroffen ist die Funktion messageReceived
der Datei src/gribbit/request/HttpRequestHandler.java. Durch Manipulation mit unbekannten Daten kann eine Privilege Escalation-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-1385 vorgenommen. Die Schwachstelle wurde am 09.01.2023 als 620418df247aebda3dd4be1dda10fe229ea505dd publik gemacht. Das Advisory kann von github.com heruntergeladen werden.
Die Verwundbarkeit wird unter CVE-2014-125071 geführt. Der Angriff kann im lokalen Netzwerk angegangen werden. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar.
Er gilt als nicht definiert. Als 0-Day erzielte der Exploit wohl etwa $0-$5k auf dem Schwarzmarkt.
Der Patch wird als 620418df247aebda3dd4be1dda10fe229ea505dd bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird Patching empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.