| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
e107 ist ein freies Content-Management-System (CMS), welches die Gestaltung und Verwaltung von Webseiten oder Community-Portalen erleichtert. Da bei der Entwicklung PHP und Datenbankunterstützung via MySQL verwendet wurde, kann es für Webseiten oder lokale Intranet-Seiten verwendet werden. Momentan werden mehrere Sprachen unterstützt, welche man zusätzlich zum Programmpaket herunterladen kann. In einem Exploit zeigt GiReX, wie mittels einer ungepatchten SQL Injection unter anderem administrative Passworthashes u.Ä. extrahiert werden kann Unter anderem wird der Fehler auch in den Datenbanken von X-Force (45967) und Exploit-DB (6791) dokumentiert. Die Einträge 45276 sind sehr ähnlich.
e107 ist ein älteres Projekt, dass heute immer noch relativ oft eingesetzt wird - auch wenn die meisten aktiven Administatoren aufgrund diverser Unzulänglichkeiten seit längerem über einen Wechsel nachdenken. Auch bei einem Blick auf die Schwachstelle, die diesem Exploit zugrunde liegt, muss diese Variante im Anbetracht fehlender Updates in die engere Auswahl der Gegenmassnahmen gezogen werden.
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Autor: girex
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
19.10.2008 🔍19.10.2008 🔍
19.10.2008 🔍
20.10.2008 🔍
20.10.2008 🔍
20.10.2008 🔍
29.10.2008 🔍
03.12.2008 🔍
03.12.2008 🔍
11.07.2019 🔍
Quellen
Advisory: exploit-db.comPerson: __GiReX__
Status: Bestätigt
CVE: CVE-2008-5320 (🔍)
X-Force: 45967 - e107 usersettings.php SQL injection
SecurityFocus: 31821 - e107 CMS 'ue[]' Parameter SQL Injection Vulnerability
Secunia: 32322 - e107 "ue[]" SQL Injection Vulnerability, Less Critical
OSVDB: 49207 - e107 usersettings.php ue[] Array Parameter SQL Injection
Vupen: ADV-2008-2860
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 29.10.2008 11:04Aktualisierung: 11.07.2019 08:40
Anpassungen: 29.10.2008 11:04 (71), 11.07.2019 08:40 (8)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.