cPanel 11.36.2.10/11.38.2.13/11.40.0.29/11.40.1.3 WHM XML/JSON API getpkginfo Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.8 | $0-$5k | 0.00 |
In cPanel 11.36.2.10/11.38.2.13/11.40.0.29/11.40.1.3 (Hosting Control Software) wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es geht um die Funktion getpkginfo der Komponente WHM XML/JSON API. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-200. Mit Auswirkungen muss man rechnen für die Vertraulichkeit.
Die Schwachstelle wurde am 23.12.2013 von cPanel Security Team als TSR 2013-0012 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Das Advisory kann von cpanel.net heruntergeladen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592. Das Advisory weist darauf hin:
By sending a crafted input to this call, resellers with the “viewglobalpackages” ACL could read the contents of files accessible only to root.Ein Upgrade auf die Version 11.40.1.7, 11.40.0.31, 11.38.2.15 oder 11.36.2.12 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben offensichtlich unmittelbar reagiert.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (90154) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 11601.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 3.8
VulDB Base Score: 4.3
VulDB Temp Score: 3.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: cPanel 11.40.1.7/11.40.0.31/11.38.2.15/11.36.2.12
Timeline
21.12.2013 🔍23.12.2013 🔍
23.12.2013 🔍
24.12.2013 🔍
11.02.2014 🔍
29.03.2019 🔍
Quellen
Advisory: TSR 2013-0012Person: http://cpanel.net/
Firma: cPanel Security Team
Status: Bestätigt
Koordiniert: 🔍
X-Force: 90154 - cPanel getpkginfo() function information disclosure, Medium Risk
SecurityFocus: 64511
Secunia: 56207 - cPanel WHM XML and JSON APIs Arbitrary File Disclosure Vulnerability, Less Critical
Siehe auch: 🔍
Eintrag
Erstellt: 11.02.2014 11:42Aktualisierung: 29.03.2019 19:12
Anpassungen: 11.02.2014 11:42 (57), 29.03.2019 19:12 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.