VDB-114689 · CVE-2017-14384 · BID 103467

Dell Storage Manager bis 16.3.19 EMConfigMigration Directory Traversal

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.7$0-$5k0.00

Eine Schwachstelle wurde in Dell Storage Manager bis 16.3.19 entdeckt. Sie wurde als kritisch eingestuft. Hierbei geht es um ein unbekannter Ablauf der Komponente EMConfigMigration. Durch die Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-22. Dies hat Einfluss auf Vertraulichkeit und Integrität. Die Zusammenfassung von CVE lautet:

In Dell Storage Manager versions earlier than 16.3.20, the EMConfigMigration service is affected by a directory traversal vulnerability. A remote malicious user could potentially exploit this vulnerability to read unauthorized files by supplying specially crafted strings in input parameters of the application. A malicious user cannot delete or modify any files via this vulnerability.

Gefunden wurde das Problem am 18.01.2018. Die Schwachstelle wurde am 16.03.2018 (Website) herausgegeben. Bereitgestellt wird das Advisory unter topics-cdn.dell.com. Die Verwundbarkeit wird seit dem 12.09.2017 mit der eindeutigen Identifikation CVE-2017-14384 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1006 aus.

Es dauerte mindestens 57 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.

Ein Aktualisieren auf die Version 16.3.20 vermag dieses Problem zu lösen.

Von weiterem Interesse können die folgenden Einträge sein: 110238.

Produktinfo

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.9
VulDB Meta Temp Score: 5.8

VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Directory Traversal
CWE: CWE-22
ATT&CK: T1006

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Storage Manager 16.3.20

Timelineinfo

12.09.2017 🔍
18.01.2018 +128 Tage 🔍
16.03.2018 +57 Tage 🔍
16.03.2018 +0 Tage 🔍
16.03.2018 +0 Tage 🔍
17.03.2018 +1 Tage 🔍
14.01.2020 +668 Tage 🔍

Quelleninfo

Hersteller: dell.com

Advisory: topics-cdn.dell.com
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2017-14384 (🔍)
SecurityFocus: 103467 - Dell Storage Manager CVE-2017-14384 Directory Traversal Vulnerability

Siehe auch: 🔍

Eintraginfo

Erstellt: 17.03.2018 11:35
Aktualisierung: 14.01.2020 12:07
Anpassungen: 17.03.2018 11:35 (61), 14.01.2020 12:07 (4)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!