RRJ Nueva Ecija Engineer Online Portal 1.0 /admin/uploads/ Information Disclosure
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
5.0 | $0-$5k | 0.00 |
Es wurde eine problematische Schwachstelle in RRJ Nueva Ecija Engineer Online Portal 1.0 ausgemacht. Betroffen hiervon ist unbekannter Programmcode der Datei /admin/uploads/. Mit der Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-538 vorgenommen. Das hat Auswirkungen auf die Vertraulichkeit.
Die Schwachstelle wurde am 02.01.2024 publik gemacht. Das Advisory kann von mega.nz heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2024-0191 geführt. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1083.
Der Download des Exploits kann von mega.nz geschehen. Er wird als proof-of-concept gehandelt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.0
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 5.3
CNA Vector (VulDB): 🔒
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Information DisclosureCWE: CWE-538 / CWE-200 / CWE-284
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
02.01.2024 Advisory veröffentlicht02.01.2024 CVE zugewiesen
02.01.2024 VulDB Eintrag erstellt
22.01.2024 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: mega.nzStatus: Nicht definiert
CVE: CVE-2024-0191 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 02.01.2024 11:28Aktualisierung: 22.01.2024 17:56
Anpassungen: 02.01.2024 11:28 (40), 22.01.2024 17:48 (2), 22.01.2024 17:56 (18)
Komplett: 🔍
Einsender: ahmed8199
Cache ID: 18:95E:103
Submit
Akzeptiert
- Submit #261098: Engineers Online Portal Web 1.0 unauthenticated Access to the uploaded Files from all Users. (von ahmed8199)
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.