VDB-24589 · CVE-2005-0726 · BID 12784

Ubbcentral UBB.threads 6.0 editpost.php Number SQL Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

In Ubbcentral UBB.threads 6.0 wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es ein unbekannter Ablauf der Datei editpost.php. Durch Manipulation des Arguments Number mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

SQL injection vulnerability in editpost.php in UBB.threads 6.0 allows remote attackers to execute arbitrary SQL commands via the Number parameter.

Gefunden wurde das Problem am 14.03.2005. Die Schwachstelle wurde am 02.05.2005 durch ADZ Security Team in Form eines nicht definierten Postings (Bugtraq) öffentlich gemacht. Bereitgestellt wird das Advisory unter marc.theaimsgroup.com. Die Verwundbarkeit wird seit dem 12.03.2005 als CVE-2005-0726 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus.

Durch die Suche von inurl:editpost.php können potentiell verwundbare Systeme gefunden werden. Für den Vulnerability Scanner Nessus wurde am 12.03.2005 ein Plugin mit der ID 17316 (UBB.threads editpost.php Number Parameter SQL Injection) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt.

Ein Aktualisieren vermag dieses Problem zu lösen.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (17316) dokumentiert.

Produktinfo

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 17316
Nessus Name: UBB.threads editpost.php Number Parameter SQL Injection
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Timelineinfo

11.03.2005 🔍
11.03.2005 +0 Tage 🔍
12.03.2005 +1 Tage 🔍
12.03.2005 +0 Tage 🔍
14.03.2005 +2 Tage 🔍
14.03.2005 +0 Tage 🔍
02.05.2005 +49 Tage 🔍
02.05.2005 +0 Tage 🔍
10.03.2015 +3599 Tage 🔍
30.05.2019 +1542 Tage 🔍

Quelleninfo

Advisory: marc.theaimsgroup.com
Person: ADZ Security Team
Status: Nicht definiert

CVE: CVE-2005-0726 (🔍)
Vulnerability Center: 7290 - SQL Injection in UBBCentral UBB.threads 6.0 via Number parameter, Medium
SecurityFocus: 12784 - UBBCentral UBB.threads Editpost.PHP SQL Injection Vulnerability
OSVDB: 14744 - UBBCentral - UBB.threads - Editpost.PHP - SQL Injection Issue

Eintraginfo

Erstellt: 10.03.2015 23:05
Aktualisierung: 30.05.2019 18:06
Anpassungen: 10.03.2015 23:05 (63), 30.05.2019 18:06 (7)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!