Digium Asterisk GUI bis 2.1.0 erweiterte Rechte

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
7.5$0-$5k0.00

Eine Schwachstelle wurde in Digium Asterisk GUI bis 2.1.0 (Communications System) gefunden. Sie wurde als kritisch eingestuft. Dies betrifft ein unbekannter Teil. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-78. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

An Improper Neutralization of Special Elements used in an OS Command issue was discovered in Digium Asterisk GUI 2.1.0 and prior. An OS command injection vulnerability has been identified that may allow the execution of arbitrary code on the system through the inclusion of OS commands in the URL request of the program.

Entdeckt wurde das Problem am 21.09.2017. Die Schwachstelle wurde am 26.09.2017 durch Davy Douhine (Website) veröffentlicht. Das Advisory kann von securityfocus.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 30.08.2017 als CVE-2017-14001 statt. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Dabei muss 4 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 100950) dokumentiert.

Produktinfoedit

Typ

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.5

VulDB Base Score: 6.3
VulDB Temp Score: 6.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Klasse: Erweiterte Rechte
CWE: CWE-78
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfoedit

30.08.2017 🔍
21.09.2017 +22 Tage 🔍
21.09.2017 +0 Tage 🔍
25.09.2017 +4 Tage 🔍
26.09.2017 +1 Tage 🔍
26.09.2017 +0 Tage 🔍
14.01.2021 +1206 Tage 🔍

Quelleninfoedit

Hersteller: https://www.digium.com/

Advisory: securityfocus.com
Person: Davy Douhine
Status: Nicht definiert

CVE: CVE-2017-14001 (🔍)
SecurityFocus: 100950 - Digium Asterisk GUI CVE-2017-14001 OS Command Injection Vulnerability

Eintraginfoedit

Erstellt: 26.09.2017 15:12
Aktualisierung: 14.01.2021 13:20
Anpassungen: (2) advisory_person_name vulnerability_cvss2_nvd_basescore
Komplett: 🔍

Kommentare

Do you want to use VulDB in your project?

Use the official API to access entries easily!