Mj2 Majordomo 2 bis 20110202 lp Command lib/Majordomo.pm _list_file_get extra Directory Traversal
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
5.3 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in Mj2 Majordomo 2 bis 20110202 entdeckt. Sie wurde als problematisch eingestuft. Es betrifft die Funktion _list_file_get
der Bibliothek lib/Majordomo.pm der Komponente lp Command. Durch das Beeinflussen des Arguments extra
mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-22 vorgenommen. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
The _list_file_get function in lib/Majordomo.pm in Majordomo 2 20110203 and earlier allows remote attackers to conduct directory traversal attacks and read arbitrary files via a ./.../ sequence in the "extra" parameter to the help command, which causes the regular expression to produce .. (dot dot) sequences. NOTE: this vulnerability is due to an incomplete fix for CVE-2011-0049.
Die Schwachstelle wurde am 15.03.2011 als Bug 631307 in Form eines nicht definierten Bug Reports (Bugzilla) publiziert. Das Advisory findet sich auf bugzilla.mozilla.org. Die Identifikation der Schwachstelle wird seit dem 21.12.2010 mit CVE-2011-0063 vorgenommen. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1006 bezeichnet.
Er wird als hoch funktional gehandelt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 52000 (Majordomo 2 _list_file_get() Function Traversal Arbitrary File Access) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (66011) und Tenable (52000) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 56336.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
ATT&CK: T1006
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 52000
Nessus Name: Majordomo 2 _list_file_get() Function Traversal Arbitrary File Access
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 801838
OpenVAS Name: Majordomo2 Directory Traversal Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
MetaSploit ID: majordomo2_directory_traversal.rb
MetaSploit Name: Majordomo2 _list_file_get() Directory Traversal
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Fortigate IPS: 🔍
Timeline
21.12.2010 🔍09.03.2011 🔍
10.03.2011 🔍
15.03.2011 🔍
15.03.2011 🔍
23.03.2011 🔍
20.03.2015 🔍
19.10.2021 🔍
Quellen
Advisory: Bug 631307Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2011-0063 (🔍)
X-Force: 66011
Vulnerability Center: 30628 - Majordomo 2 20110203 and earlier Remote Directory Traversal Vulnerability, Medium
SecurityFocus: 46127
Secunia: 43631 - Majordomo 2 "_list_file_get()" Directory Traversal Vulnerability, Moderately Critical
Siehe auch: 🔍
Eintrag
Erstellt: 20.03.2015 16:16Aktualisierung: 19.10.2021 15:48
Anpassungen: 20.03.2015 16:16 (66), 19.03.2017 20:37 (10), 19.10.2021 15:48 (5)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.