DB4Web 3.4/3.6 db4web_c.exe File Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.1$0-$5k0.00

Es wurde eine Schwachstelle in DB4Web 3.4/3.6 ausgemacht. Sie wurde als kritisch eingestuft. Hiervon betroffen ist eine unbekannte Funktionalität der Datei db4web_c.exe. Durch Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (File) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Auswirken tut sich dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

db4web_c and db4web_c.exe programs in DB4Web 3.4 and 3.6 allow remote attackers to read arbitrary files via an HTTP request whose argument is a filename of the form (1) C: (drive letter), (2) //absolute/path (double-slash), or (3) .. (dot-dot).

Die Schwachstelle wurde am 22.04.2003 (Website) publiziert. Das Advisory findet sich auf iss.net. Die Identifikation der Schwachstelle wird mit CVE-2002-1483 vorgenommen. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.

Für den Vulnerability Scanner Nessus wurde am 02.12.2002 ein Plugin mit der ID 11182 (DB4Web Server db4web_c Filename Request Traversal Arbitrary File Access) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (10123) und Tenable (11182) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 20392.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: File
Klasse: Information Disclosure / File
CWE: CWE-200 / CWE-284 / CWE-266
ATT&CK: T1592

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 11182
Nessus Name: DB4Web Server db4web_c Filename Request Traversal Arbitrary File Access
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 11182
OpenVAS Name: DB4Web directory traversal
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍
SourceFire IPS: 🔍

Timelineinfo

17.09.2002 🔍
02.12.2002 +76 Tage 🔍
22.04.2003 +141 Tage 🔍
22.04.2003 +0 Tage 🔍
22.04.2003 +0 Tage 🔍
24.06.2003 +63 Tage 🔍
08.08.2014 +4063 Tage 🔍
10.05.2019 +1736 Tage 🔍

Quelleninfo

Advisory: iss.net
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2002-1483 (🔍)
X-Force: 10123
Vulnerability Center: 1261 - DB4Web Allows Arbitrary File Read, High
SecurityFocus: 5723 - DB4Web File Disclosure Vulnerability

Siehe auch: 🔍

Eintraginfo

Erstellt: 08.08.2014 13:26
Aktualisierung: 10.05.2019 09:49
Anpassungen: 08.08.2014 13:26 (67), 10.05.2019 09:49 (4)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!