Castor 1.3/1.3.1/1.3.2 Default Configuration Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.8$0-$5k0.00

Eine Schwachstelle wurde in Castor 1.3/1.3.1/1.3.2 gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um ein unbekannter Codeblock der Komponente Default Configuration. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-16. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:

The default configuration for the Xerces SAX Parser in Castor before 1.3.3 allows context-dependent attackers to conduct XML External Entity (XXE) attacks via a crafted XML document.

Die Schwachstelle wurde am 11.06.2014 (Website) veröffentlicht. Das Advisory kann von seclists.org heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 25.04.2014 als CVE-2014-3004 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.004.

Der Exploit wird unter securityfocus.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 15.12.2014 ein Plugin mit der ID 79935 (Fedora 20 : castor-1.3.3-1.fc20 (2014-16346)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 167035 (OpenSuSE Security Update for Castor (openSUSE-SU-2014:0822-1)) zur Prüfung der Schwachstelle an.

Ein Upgrade auf die Version 1.3.1 vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (93519) und Tenable (79935) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 70181 und 148994.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.8

VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-16
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 79935
Nessus Name: Fedora 20 : castor-1.3.3-1.fc20 (2014-16346)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Castor 1.3.1

Timelineinfo

25.04.2014 🔍
27.05.2014 +32 Tage 🔍
27.05.2014 +0 Tage 🔍
11.06.2014 +15 Tage 🔍
11.06.2014 +0 Tage 🔍
23.06.2014 +12 Tage 🔍
02.07.2014 +9 Tage 🔍
15.12.2014 +166 Tage 🔍
26.03.2015 +101 Tage 🔍
22.03.2022 +2553 Tage 🔍

Quelleninfo

Advisory: 126854
Status: Nicht definiert

CVE: CVE-2014-3004 (🔍)
X-Force: 93519
Vulnerability Center: 45235 - Castor before 1.3.3 Remote Information Disclosure via a XML External Entity (XXE) attack, Medium
SecurityFocus: 67676 - Castor Library CVE-2014-3004 XML External Entity Information Disclosure Vulnerability
Secunia: 59427 - SUSE update for castor, Less Critical
OSVDB: 107454

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 26.03.2015 12:07
Aktualisierung: 22.03.2022 14:50
Anpassungen: 26.03.2015 12:07 (65), 01.06.2017 04:42 (10), 22.03.2022 14:46 (3), 22.03.2022 14:50 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!