| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in Korn19 UTF-8 CuteNews bis 7 (Content Management System) gefunden. Sie wurde als kritisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock. Durch Beeinflussen des Arguments id mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-264 vorgenommen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The editnews module in CutePHP CuteNews 1.4.6 and UTF-8 CuteNews before 8b, when magic_quotes_gpc is disabled, allows remote authenticated users with Journalist or Editor access to bypass administrative moderation and edit previously submitted articles via a modified id parameter in a doeditnews action.Die Schwachstelle wurde am 02.12.2009 durch Andrew Horton (Website) publik gemacht. Auf securityfocus.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 02.12.2009 unter CVE-2009-4174 geführt. Der Angriff kann über das Netzwerk erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle.
Unter securityfocus.com wird der Exploit bereitgestellt. Er wird als hoch funktional gehandelt.
Ein Upgrade auf die Version 8 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (54236) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 51083, 51082, 51007 und 51005.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
ATT&CK: T1068
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 801056
OpenVAS Name: CuteNews/UTF-8 CuteNews Multiple Vulneablities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: UTF-8 CuteNews 8
Timeline
10.11.2009 🔍02.12.2009 🔍
02.12.2009 🔍
02.12.2009 🔍
18.03.2015 🔍
18.12.2017 🔍
Quellen
Advisory: securityfocus.com⛔Person: Andrew Horton
Status: Bestätigt
CVE: CVE-2009-4174 (🔍)
X-Force: 54236 - CuteNews articles security bypass
SecurityFocus: 36971 - CuteNews and UTF-8 CuteNews Multiple Security Vulnerabilities
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 18.03.2015 15:15Aktualisierung: 18.12.2017 08:16
Anpassungen: 18.03.2015 15:15 (58), 18.12.2017 08:16 (7)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.