Ortus TestBox bis 4.1.0 Query String test-browser/index.cfm Directory Traversal

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
5.1$0-$5k0.00

Eine kritische Schwachstelle wurde in Ortus TestBox bis 4.1.0 gefunden. Hierbei geht es um ein unbekannter Ablauf der Datei test-browser/index.cfm der Komponente Query String Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-21. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

In Ortus TestBox 2.4.0 through 4.1.0, unvalidated query string parameters to test-browser/index.cfm allow directory traversal.

Die Schwachstelle wurde am 24.11.2020 als 49078 herausgegeben. Das Advisory findet sich auf exploit-db.com. Die Verwundbarkeit wird seit dem 24.07.2020 mit der eindeutigen Identifikation CVE-2020-15928 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff im lokalen Netzwerk. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.

Er wird als proof-of-concept gehandelt. Der Exploit wird unter exploit-db.com bereitgestellt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Produktinfoedit

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 5.1

VulDB Base Score: 5.5
VulDB Temp Score: 5.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.3
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Directory Traversal
CWE: CWE-21
ATT&CK: Unbekannt

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Exploit-DB: 🔒

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔒

Timelineinfoedit

24.07.2020 CVE zugewiesen
24.11.2020 +123 Tage Advisory veröffentlicht
24.11.2020 +0 Tage VulDB Eintrag erstellt
10.12.2020 +16 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: 49078
Status: Nicht definiert

CVE: CVE-2020-15928 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfoedit

Erstellt: 24.11.2020 10:33
Aktualisierung: 10.12.2020 09:28
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Interested in the pricing of exploits?

See the underground prices here!