| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.4 | $0-$5k | 0.14 |
Das Unternehmen Kyberna AG aus Liechtenstein entwickelt verschiedene Web-Applikationen. Eine von ihnen ist ky2help, ein Ticketing-System für grössere Unternehmungen. Marc Ruef der scip AG entdeckte am 27. Oktober 2005 eine Schwachstelle in eben dieser Lösung. Durch den Einsatz von Sonderzeichen ist es im Meine Links-Bereich möglich, mittels SQL-Injection erweiterte Rechte in der Datenbank zu erhalten. Der Hersteller wurde am 01. November 2005 über das Problem informiert und hat dieses mit einem Hotfix bei den betroffenen Kunden behoben. Im darauf folgenden Software-Release wurde dieses und andere Probleme behoben. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (27598) dokumentiert.
SQL-Injection ist wie Cross Site Scripting ein Thema, das nicht oft diskutiert und deshalb von den wenigsten wirklich ernst genommen wird. Die Gefahr dieser SQL-Schwachstelle in einem Datenbank-System ansich kann jedoch nicht verleugnet werden.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 4.4
VulDB Base Score: 5.0
VulDB Temp Score: 4.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: kyberna.com
Timeline
27.10.2005 🔍04.07.2006 🔍
04.07.2006 🔍
04.07.2006 🔍
06.07.2006 🔍
12.07.2006 🔍
12.07.2006 🔍
08.10.2018 🔍
Quellen
Advisory: vuldb.comPerson: Marc Ruef
Firma: scip AG
Status: Bestätigt
CVE: CVE-2006-3541 (🔍)
X-Force: 27598 - ky2help multiple textbox SQL injection, Medium Risk
SecurityFocus: 18800 - Kyberna AG Ky2help Meine Links SQL Injection Vulnerability
Secunia: 20924 - ky2help "Meine Links" SQL Injection Vulnerability, Less Critical
OSVDB: 27026 - ky2help Meine Links Function SQL Injection
Eintrag
Erstellt: 04.07.2006 10:42Aktualisierung: 08.10.2018 15:20
Anpassungen: (2) source_securityfocus_date source_securityfocus_class
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.