CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
4.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Kyberna ky2help gefunden. Sie wurde als kritisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Komponente Meine Links. Durch das Beeinflussen mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Das Advisory kann von vuldb.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2006-3541 geführt. Der Angriff kann über das Netzwerk passieren. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Details
Das Unternehmen Kyberna AG aus Liechtenstein entwickelt verschiedene Web-Applikationen. Eine von ihnen ist ky2help, ein Ticketing-System für grössere Unternehmungen. Marc Ruef der scip AG entdeckte am 27. Oktober 2005 eine Schwachstelle in eben dieser Lösung. Durch den Einsatz von Sonderzeichen ist es im Meine Links-Bereich möglich, mittels SQL-Injection erweiterte Rechte in der Datenbank zu erhalten. Der Hersteller wurde am 01. November 2005 über das Problem informiert und hat dieses mit einem Hotfix bei den betroffenen Kunden behoben. Im darauf folgenden Software-Release wurde dieses und andere Probleme behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (27598), SecurityFocus (BID 18800†), OSVDB (27026†) und Secunia (SA20924†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
SQL-Injection ist wie Cross Site Scripting ein Thema, das nicht oft diskutiert und deshalb von den wenigsten wirklich ernst genommen wird. Die Gefahr dieser SQL-Schwachstelle in einem Datenbank-System ansich kann jedoch nicht verleugnet werden.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 4.4
VulDB Base Score: 5.0
VulDB Temp Score: 4.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: kyberna.com
Timeline
27.10.2005 🔍04.07.2006 🔍
04.07.2006 🔍
04.07.2006 🔍
06.07.2006 🔍
12.07.2006 🔍
12.07.2006 🔍
08.10.2018 🔍
Quellen
Advisory: vuldb.comPerson: Marc Ruef
Firma: scip AG
Status: Bestätigt
CVE: CVE-2006-3541 (🔍)
GCVE (CVE): GCVE-0-2006-3541
GCVE (VulDB): GCVE-100-2351
X-Force: 27598 - ky2help multiple textbox SQL injection, Medium Risk
SecurityFocus: 18800 - Kyberna AG Ky2help Meine Links SQL Injection Vulnerability
Secunia: 20924 - ky2help "Meine Links" SQL Injection Vulnerability, Less Critical
OSVDB: 27026 - ky2help Meine Links Function SQL Injection
Eintrag
Erstellt: 04.07.2006 10:42Aktualisierung: 08.10.2018 15:20
Anpassungen: 04.07.2006 10:42 (72), 08.10.2018 15:20 (2)
Komplett: 🔍
Cache ID: 216:C96:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.