HP Mercury Quality Center 9.x SPIDERLib ActiveX Control Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Die Hewlett-Packard Company (HP) ist eine der größten US-amerikanischen Technologiefirmen registriert in Wilmington, Delaware und Firmenzentrale in Palo Alto, Kalifornien. HP war das erste Technologieunternehmen im Silicon Valley und gilt als Vorreiter für die von der Computertechnologie geprägten Industrielandschaft der Region. Im Mercury Quality Center der Firma wurde eine Schwachstelle aufgefunden, die es einem Angreifer erlaubt beliebigen Code durch einen Pufferüberlauf in der ActiveX Bibliothek SPIDERLib (spider90.ocx) auf dem Zielsystem auszuführen, sofern dieses z.B. eine manipulierte Webseite besucht. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (33353), Tenable (24909) und Exploit-DB (3661) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 03.04.2007 ein Plugin mit der ID 24909 (TestDirector (TD) for Mercury Quality Center SPIDERLib.Loader ActiveX Control (Spider90.ocx) ProgColor Property Overflow) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext l ausgeführt.
Das Ausnutzen von Schwachstellen in einem ActiveX Control gestaltet sich für einen erfahrenen Angreifer sehr einfach, was diese Schwachstelle zu einem Risiko macht. Benutzer der betroffenen Version sollten baldmöglichst die bereitgestellten Patches einspielen.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 24909
Nessus Name: TestDirector (TD) for Mercury Quality Center SPIDERLib.Loader ActiveX Control (Spider90.ocx) ProgColor Property Overflow
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
MetaSploit ID: hpmqc_progcolor.rb
MetaSploit Name: HP Mercury Quality Center ActiveX Control ProgColor Buffer Overflow
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Patch: webnotes.merc-int.com
Snort ID: 10419
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
PaloAlto IPS: 🔍
Timeline
27.03.2007 🔍01.04.2007 🔍
01.04.2007 🔍
01.04.2007 🔍
02.04.2007 🔍
02.04.2007 🔍
02.04.2007 🔍
02.04.2007 🔍
02.04.2007 🔍
02.04.2007 🔍
02.04.2007 🔍
03.04.2007 🔍
08.04.2007 🔍
12.04.2007 🔍
17.07.2019 🔍
Quellen
Hersteller: hp.comAdvisory: labs.idefense.com⛔
Person: Eric Detoisien (Titon Ri0t)
Firma: Cert/CC
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-1819 (🔍)
X-Force: 33353
SecurityTracker: 1017835
Vulnerability Center: 14764 - Mercury Quality Center TestDirector ActiveX Control Remote Code Execution, Medium
SecurityFocus: 23239 - HP Mercury Quality Center ActiveX Control Buffer Overflow Vulnerability
Secunia: 24692 - HP Mercury Quality Center SPIDERLib ActiveX Control Buffer Overflow, Highly Critical
OSVDB: 34317 - HP TestDirector (TD) for Mercury Quality Center SPIDERLib.Loader ActiveX Control (Spider90.ocx) ProgColor Property Overflow
Vupen: ADV-2007-1185
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 12.04.2007 10:27Aktualisierung: 17.07.2019 11:28
Anpassungen: 12.04.2007 10:27 (105), 17.07.2019 11:28 (1)
Komplett: 🔍
Cache ID: 18:A74:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.