VDB-56406 · CVE-2010-4195 · BID 46336

Adobe Shockwave Player bis 8.0.195 erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
9.5$0-$5k0.00

Es wurde eine Schwachstelle in Adobe Shockwave Player bis 8.0.195 (Multimedia Player Software) gefunden. Sie wurde als sehr kritisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The TextXtra module in Adobe Shockwave Player before 11.5.9.620 does not properly validate unspecified input data, which allows attackers to execute arbitrary code via unknown vectors.

Die Schwachstelle wurde am 10.02.2011 durch Will Dormann von CERT/CC in Form eines bestätigten Advisories (CERT.org) publik gemacht. Auf kb.cert.org kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2010-4195 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 16.10.2021).

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 51936 (Shockwave Player < 11.5.9.620 (APSB11-01)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 118959 (Adobe Shockwave Player Multiple Code Execution Vulnerabilities (APSB11-01)) zur Prüfung der Schwachstelle an.

Ein Upgrade auf die Version 8.0.196 vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (51936) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 55344, 56421, 56417 und 56416.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

  • end of life

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 10.0
VulDB Meta Temp Score: 9.5

VulDB Base Score: 10.0
VulDB Temp Score: 9.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-20
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 51936
Nessus Name: Shockwave Player < 11.5.9.620 (APSB11-01)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 801846
OpenVAS Name: Adobe Shockwave Player Multiple Remote Code Execution Vulnerabilities - Feb 2011
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Shockwave Player 8.0.196

Timelineinfo

05.11.2010 🔍
08.02.2011 +95 Tage 🔍
08.02.2011 +0 Tage 🔍
09.02.2011 +1 Tage 🔍
10.02.2011 +1 Tage 🔍
10.02.2011 +0 Tage 🔍
20.03.2015 +1499 Tage 🔍
16.10.2021 +2402 Tage 🔍

Quelleninfo

Hersteller: adobe.com

Advisory: kb.cert.org
Person: Will Dormann
Firma: CERT/CC
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2010-4195 (🔍)
Vulnerability Center: 29668 - [APSB11-01] Adobe Shockwave Player 11-11.5.9.615 TextXtra Input Validation Vulnerability, Medium
SecurityFocus: 46336 - Adobe Shockwave Player 'TextXtra' Module Input Validation Remote Code Execution Vulnerability
Secunia: 42112

Siehe auch: 🔍

Eintraginfo

Erstellt: 20.03.2015 16:16
Aktualisierung: 16.10.2021 09:32
Anpassungen: 20.03.2015 16:16 (61), 15.03.2017 12:33 (10), 16.10.2021 09:28 (4), 16.10.2021 09:32 (2)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!