CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
4.8 | $0-$5k | 0.00 |
Es wurde eine kritische Schwachstelle in Nextapp Echo 2.0.1/2.1.0/3.0 gefunden. Es betrifft unbekannter Code der Komponente XML Parser. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Dies hat Einfluss auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
The Java XML parser in Echo before 2.1.1 and 3.x before 3.0.b6 allows remote attackers to read arbitrary files via a request containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue.
Die Schwachstelle wurde am 10.03.2009 (Website) publiziert. Bereitgestellt wird das Advisory unter sec-consult.com. Die Identifikation der Schwachstelle wird seit dem 01.05.2013 mit CVE-2009-5135 vorgenommen. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Exploit wird unter exploit-db.com bereitgestellt. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 2.1.0 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (49167) und Exploit-DB (8191) dokumentiert.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Echo 2.1.0
Timeline
10.03.2009 🔍10.03.2009 🔍
10.03.2009 🔍
01.05.2013 🔍
02.05.2013 🔍
24.03.2015 🔍
26.02.2019 🔍
Quellen
Advisory: sec-consult.comStatus: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2009-5135 (🔍)
X-Force: 49167
Secunia: 34218 - Echo2 XML Processing Information Disclosure Vulnerability, Moderately Critical
OSVDB: 52889 - NextApp Echo2 Engine XML External Entity Processing Privilege Escalation
Vupen: ADV-2009-0653
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 24.03.2015 15:54Aktualisierung: 26.02.2019 09:40
Anpassungen: 24.03.2015 15:54 (58), 26.02.2019 09:40 (4)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.