Cutephp CuteNews 1.3/1.3.1/1.3.2/1.3.6 show_news.php cutepath erweiterte Rechte

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
7.3$0-$5k0.00

Es wurde eine kritische Schwachstelle in Cutephp CuteNews 1.3/1.3.1/1.3.2/1.3.6 (Content Management System) gefunden. Es geht dabei um eine unbekannte Verarbeitung der Datei show_news.php. Durch Manipulieren des Arguments cutepath mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-73 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

** DISPUTED ** Multiple PHP remote file inclusion vulnerabilities in CuteNews 1.3.x allow remote attackers to execute arbitrary PHP code via a URL in the cutepath parameter to (1) show_news.php or (2) search.php. NOTE: CVE analysis as of 20060829 has not identified any scenarios in which these vectors could result in remote file inclusion.

Die Schwachstelle wurde am 25.08.2006 (Website) publiziert. Das Advisory findet sich auf securityfocus.com. Die Identifikation der Schwachstelle wird seit dem 29.08.2006 mit CVE-2006-4445 vorgenommen. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Die wahre Existenz der vermeintlichen Schwachstelle wird zur Zeit in Frage gestellt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (28582) dokumentiert.

Produktinfoedit

Typ

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.3

VulDB Base Score: 7.3
VulDB Temp Score: 7.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Klasse: Erweiterte Rechte
CWE: CWE-73
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfoedit

25.08.2006 🔍
29.08.2006 +3 Tage 🔍
29.08.2006 +0 Tage 🔍
19.10.2006 +51 Tage 🔍
12.03.2015 +3065 Tage 🔍
14.08.2018 +1251 Tage 🔍

Quelleninfoedit

Advisory: securityfocus.com
Status: Nicht definiert
Infragegestellt: 🔍

CVE: CVE-2006-4445 (🔍)
X-Force: 28582
OSVDB: 29842 - CuteNews Multiple Script cutepath Parameter Remote File Inclusion

Eintraginfoedit

Erstellt: 12.03.2015 15:51
Aktualisierung: 14.08.2018 08:28
Anpassungen: (2) advisory_url source_cve_assigned
Komplett: 🔍

Kommentare

Might our Artificial Intelligence support you?

Check our Alexa App!