Kyberna AG ky2help Meine Links Textfelder SQL-Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.4$0-$5k0.14

Das Unternehmen Kyberna AG aus Liechtenstein entwickelt verschiedene Web-Applikationen. Eine von ihnen ist ky2help, ein Ticketing-System für grössere Unternehmungen. Marc Ruef der scip AG entdeckte am 27. Oktober 2005 eine Schwachstelle in eben dieser Lösung. Durch den Einsatz von Sonderzeichen ist es im Meine Links-Bereich möglich, mittels SQL-Injection erweiterte Rechte in der Datenbank zu erhalten. Der Hersteller wurde am 01. November 2005 über das Problem informiert und hat dieses mit einem Hotfix bei den betroffenen Kunden behoben. Im darauf folgenden Software-Release wurde dieses und andere Probleme behoben. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (27598) dokumentiert.

SQL-Injection ist wie Cross Site Scripting ein Thema, das nicht oft diskutiert und deshalb von den wenigsten wirklich ernst genommen wird. Die Gefahr dieser SQL-Schwachstelle in einem Datenbank-System ansich kann jedoch nicht verleugnet werden.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 5.0
VulDB Meta Temp Score: 4.4

VulDB Base Score: 5.0
VulDB Temp Score: 4.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Unbewiesen

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Patch: kyberna.com

Timelineinfo

27.10.2005 🔍
04.07.2006 +250 Tage 🔍
04.07.2006 +0 Tage 🔍
04.07.2006 +0 Tage 🔍
06.07.2006 +2 Tage 🔍
12.07.2006 +5 Tage 🔍
12.07.2006 +0 Tage 🔍
08.10.2018 +4471 Tage 🔍

Quelleninfo

Advisory: vuldb.com
Person: Marc Ruef
Firma: scip AG
Status: Bestätigt

CVE: CVE-2006-3541 (🔍)
X-Force: 27598 - ky2help multiple textbox SQL injection, Medium Risk
SecurityFocus: 18800 - Kyberna AG Ky2help Meine Links SQL Injection Vulnerability
Secunia: 20924 - ky2help "Meine Links" SQL Injection Vulnerability, Less Critical
OSVDB: 27026 - ky2help Meine Links Function SQL Injection

Eintraginfo

Erstellt: 04.07.2006 10:42
Aktualisierung: 08.10.2018 15:20
Anpassungen: (2) source_securityfocus_date source_securityfocus_class
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!