CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.0 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in Drupal Taxonomy Autotagger module bis 4 (Content Management System) ausgemacht. Sie wurde als kritisch eingestuft. Es betrifft unbekannter Code. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-89 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
SQL injection vulnerability in the Taxonomy Autotagger module 5.x before 5.x-1.8 for Drupal allows remote authenticated users, with create or edit post permissions, to execute arbitrary SQL commands via unspecified vectors.
Die Schwachstelle wurde am 09.07.2008 durch Heine Deelstra (Website) publiziert. Bereitgestellt wird das Advisory unter secunia.com. Die Identifikation der Schwachstelle wird seit dem 09.07.2008 mit CVE-2008-3092 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus.
Er wird als hoch funktional gehandelt.
Ein Aktualisieren auf die Version 5 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (43571) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 43124.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Taxonomy Autotagger module 5
Timeline
02.07.2008 🔍03.07.2008 🔍
09.07.2008 🔍
09.07.2008 🔍
09.07.2008 🔍
17.03.2015 🔍
22.11.2017 🔍
Quellen
Hersteller: drupal.orgAdvisory: secunia.com⛔
Person: Heine Deelstra
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2008-3092 (🔍)
X-Force: 43571 - Taxonomy Autotagger module for Drupal unspecified SQL injection
SecurityFocus: 30067 - Drupal Taxonomy Autotagger Module Multiple Input Validation Vulnerabilities
Secunia: 30933 - Drupal Taxonomy Autotagger SQL Injection and Script Insertion, Less Critical
Siehe auch: 🔍
Eintrag
Erstellt: 17.03.2015 12:19Aktualisierung: 22.11.2017 09:57
Anpassungen: 17.03.2015 12:19 (54), 22.11.2017 09:57 (8)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.