VDB-60049 · CVE-2011-5072 · SA46019

Sitracker Support Incident Tracker bis 3.62 sites SQL Injection

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

In Sitracker Support Incident Tracker bis 3.62 (Ticket Tracking Software) wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es ein unbekannter Ablauf. Dank der Manipulation des Arguments sites mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Multiple SQL injection vulnerabilities in Support Incident Tracker (aka SiT!) before 3.65 allow remote attackers to execute arbitrary SQL commands via the (1) start parameter to portal/kb.php; (2) contractid parameter to contract_add_service.php; (3) id parameter to edit_escalation_path.php; (4) unlock, (5) lock, or (6) selected parameter to holding_queue.php; inc parameter in a report action to (7) report_customers.php or (8) report_incidents_by_site.php; (9) start parameter to search.php; or (10) sites parameter to transactions.php.

Die Schwachstelle wurde am 29.01.2012 (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter htbridge.ch. Die Verwundbarkeit wird seit dem 28.01.2012 als CVE-2011-5072 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus.

Ein Aktualisieren auf die Version 3.63 vermag dieses Problem zu lösen.

Von weiterem Interesse können die folgenden Einträge sein: 60050 und 60051.

Produktinfo

Typ

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

OpenVAS ID: 802388
OpenVAS Name: Support Incident Tracker SiT! Multiple SQL Injection And XSS Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Support Incident Tracker 3.63

Timelineinfo

14.09.2011 🔍
28.01.2012 +136 Tage 🔍
29.01.2012 +1 Tage 🔍
29.01.2012 +0 Tage 🔍
23.03.2015 +1149 Tage 🔍
10.01.2018 +1024 Tage 🔍

Quelleninfo

Advisory: htbridge.ch
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2011-5072 (🔍)
Secunia: 46019 - Support Incident Tracker Multiple Vulnerabilities, Moderately Critical

Siehe auch: 🔍

Eintraginfo

Erstellt: 23.03.2015 16:50
Aktualisierung: 10.01.2018 08:00
Anpassungen: 23.03.2015 16:50 (52), 10.01.2018 08:00 (7)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!