Korn19 UTF-8 CuteNews bis 7 index.php Cross Site Request Forgery
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in Korn19 UTF-8 CuteNews bis 7 (Content Management System) entdeckt. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Datei index.php. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-352. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Cross-site request forgery (CSRF) vulnerability in CutePHP CuteNews 1.4.6 and UTF-8 CuteNews before 8b allows remote attackers to hijack the authentication of administrators for requests that create new users, including a new administrator, via an adduser action in the editusers module in index.php.Die Schwachstelle wurde am 02.12.2009 durch Andrew Horton (Website) herausgegeben. Bereitgestellt wird das Advisory unter securityfocus.com. Die Verwundbarkeit wird seit dem 02.12.2009 mit der eindeutigen Identifikation CVE-2009-4173 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Download des Exploits kann von securityfocus.com geschehen. Er wird als hoch funktional gehandelt. Durch die Suche von inurl:index.php können potentiell verwundbare Systeme gefunden werden.
Ein Aktualisieren auf die Version 8 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (54240) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 51083, 51082, 51007 und 51006.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site Request ForgeryCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 801056
OpenVAS Name: CuteNews/UTF-8 CuteNews Multiple Vulneablities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: UTF-8 CuteNews 8
Timeline
10.11.2009 🔍02.12.2009 🔍
02.12.2009 🔍
02.12.2009 🔍
18.03.2015 🔍
19.12.2017 🔍
Quellen
Advisory: securityfocus.com⛔Person: Andrew Horton
Status: Bestätigt
CVE: CVE-2009-4173 (🔍)
X-Force: 54240 - CuteNews index.php cross-site request forgery
SecurityFocus: 36971 - CuteNews and UTF-8 CuteNews Multiple Security Vulnerabilities
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 18.03.2015 15:15Aktualisierung: 19.12.2017 08:16
Anpassungen: 18.03.2015 15:15 (58), 19.12.2017 08:16 (7)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.