Mahara bis 15.04.8/15.10.4/16.03.2 Error Log Passwort Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als problematisch eingestuft wurde, wurde in Mahara bis 15.04.8/15.10.4/16.03.2 gefunden. Es betrifft eine unbekannte Funktion der Komponente Error Log Handler. Dank der Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle (Passwort) ausgenutzt werden. Diese Schwachstelle wird als CVE-2017-1000151 gehandelt. Der Angriff muss lokal erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in Mahara bis 15.04.8/15.10.4/16.03.2 (Content Management System) ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist unbekannter Code der Komponente Error Log Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Password) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Mahara 15.04 before 15.04.9 and 15.10 before 15.10.5 and 16.04 before 16.04.3 are vulnerable to passwords or other sensitive information being passed by unusual parameters to end up in an error log.Die Entdeckung des Problems geschah am 21.10.2016. Die Schwachstelle wurde am 03.11.2017 (Website) herausgegeben. Das Advisory findet sich auf bugs.launchpad.net. Die Verwundbarkeit wird seit dem 02.11.2017 mit der eindeutigen Identifikation CVE-2017-1000151 gehandelt. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.
Es dauerte mindestens 378 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 15.04.9, 15.10.5 oder 16.03.3 vermag dieses Problem zu lösen.
Schwachstellen ähnlicher Art sind dokumentiert unter VDB-109119, VDB-109118, VDB-109117 und VDB-109116. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Name
Version
- 15.04.0
- 15.04.1
- 15.04.2
- 15.04.3
- 15.04.4
- 15.04.5
- 15.04.6
- 15.04.7
- 15.04.8
- 15.10.0
- 15.10.1
- 15.10.2
- 15.10.3
- 15.10.4
- 16.03.0
- 16.03.1
- 16.03.2
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.3
VulDB Base Score: 3.3
VulDB Temp Score: 3.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: PasswordKlasse: Information Disclosure / Password
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Mahara 15.04.9/15.10.5/16.03.3
Timeline
21.10.2016 🔍02.11.2017 🔍
03.11.2017 🔍
03.11.2017 🔍
04.11.2017 🔍
04.12.2019 🔍
Quellen
Advisory: bugs.launchpad.netStatus: Nicht definiert
CVE: CVE-2017-1000151 (🔍)
GCVE (CVE): GCVE-0-2017-1000151
GCVE (VulDB): GCVE-100-109115
Siehe auch: 🔍
Eintrag
Erstellt: 04.11.2017 16:31Aktualisierung: 04.12.2019 11:46
Anpassungen: 04.11.2017 16:31 (60), 04.12.2019 11:46 (1)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.