Domoticz vor 4.10578 WebServer.cpp GetFloorplanImage idx SQL Injection

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
8.2$0-$5k0.00

Eine kritische Schwachstelle wurde in Domoticz entdeckt. Hierbei geht es um die Funktion CWebServer::GetFloorplanImage der Datei WebServer.cpp. Mittels Manipulieren des Arguments idx durch Parameter kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Domoticz before 4.10578 allows SQL Injection via the idx parameter in CWebServer::GetFloorplanImage in WebServer.cpp.

Entdeckt wurde das Problem am 31.03.2019. Die Schwachstelle wurde am 31.03.2019 (Website) veröffentlicht. Das Advisory kann von exploit-db.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 31.03.2019 als CVE-2019-10664 statt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Ein Upgrade auf die Version 4.10578 vermag dieses Problem zu beheben.

Von weiterem Interesse können die folgenden Einträge sein: 132647.

Produktinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 8.5
VulDB Meta Temp Score: 8.2

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Klasse: SQL Injection
CWE: CWE-89
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Domoticz 4.10578

Timelineinfoedit

31.03.2019 🔍
31.03.2019 +0 Tage 🔍
31.03.2019 +0 Tage 🔍
31.03.2019 +0 Tage 🔍
23.05.2020 +419 Tage 🔍

Quelleninfoedit

Advisory: exploit-db.com
Status: Nicht definiert

CVE: CVE-2019-10664 (🔍)
Siehe auch: 🔍

Eintraginfoedit

Erstellt: 31.03.2019 20:15
Aktualisierung: 23.05.2020 10:29
Anpassungen: (2) vulnerability_discoverydate advisory_url
Komplett: 🔍

Kommentare

Do you want to use VulDB in your project?

Use the official API to access entries easily!