Mahara bis 1.8.6/1.9.4/1.10.2/15.03.x Session schwache Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Mahara bis 1.8.6/1.9.4/1.10.2/15.03.x gefunden. Dabei betrifft es einen unbekannter Codeteil der Komponente Session Handler. Die Bearbeitung verursacht schwache Authentisierung. Die Verwundbarkeit wird als CVE-2017-1000135 geführt. Der Angriff kann über das Netzwerk passieren. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine kritische Schwachstelle wurde in Mahara bis 1.8.6/1.9.4/1.10.2/15.03.x (Content Management System) entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Session Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-613. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Mahara 1.8 before 1.8.7 and 1.9 before 1.9.5 and 1.10 before 1.10.3 and 15.04 before 15.04.0 are vulnerable as logged-in users can stay logged in after the institution they belong to is suspended.Entdeckt wurde das Problem am 20.04.2015. Die Schwachstelle wurde am 03.11.2017 (Website) veröffentlicht. Das Advisory kann von bugs.launchpad.net heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 02.11.2017 als CVE-2017-1000135 statt. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Dabei muss 928 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Upgrade auf die Version 1.8.7, 1.9.5, 1.10.3 oder 15.04.0 vermag dieses Problem zu beheben.
Schwachstellen ähnlicher Art sind dokumentiert unter VDB-109104, VDB-109103, VDB-109102 und VDB-109101. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.2
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-613
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Mahara 1.8.7/1.9.5/1.10.3/15.04.0
Timeline
20.04.2015 🔍02.11.2017 🔍
03.11.2017 🔍
03.11.2017 🔍
04.11.2017 🔍
04.12.2019 🔍
Quellen
Advisory: bugs.launchpad.netStatus: Nicht definiert
CVE: CVE-2017-1000135 (🔍)
GCVE (CVE): GCVE-0-2017-1000135
GCVE (VulDB): GCVE-100-109100
Siehe auch: 🔍
Eintrag
Erstellt: 04.11.2017 16:28Aktualisierung: 04.12.2019 10:18
Anpassungen: 04.11.2017 16:28 (60), 04.12.2019 10:18 (1)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.