Vonage VDV-23 115 3.2.11-0.9.40 loginPassword/loginUsername Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Vonage VDV-23 115 3.2.11-0.9.40 entdeckt. Es geht dabei um eine nicht klar definierte Funktion. Die Veränderung des Parameters loginPassword/loginUsername im Kontext von Long String resultiert in Pufferüberlauf. Diese Verwundbarkeit ist als CVE-2017-16902 gelistet. Der Angriff kann über das Netzwerk passieren. Ferner existiert ein Exploit. Es ist ratsam, eine restriktive Firewall einzusetzen.
Details
Eine Schwachstelle wurde in Vonage VDV-23 115 3.2.11-0.9.40 entdeckt. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Verarbeitung. Durch Beeinflussen des Arguments loginPassword/loginUsername durch Long String kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Auswirkungen hat dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
On the Vonage VDV-23 115 3.2.11-0.9.40 home router, sending a long string of characters in the loginPassword and/or loginUsername field to goform/login causes the router to reboot.Gefunden wurde das Problem am 20.11.2017. Die Schwachstelle wurde am 20.11.2017 (Website) herausgegeben. Bereitgestellt wird das Advisory unter gh0s7.net. Die Verwundbarkeit wird seit dem 20.11.2017 mit der eindeutigen Identifikation CVE-2017-16902 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Unter exploit-db.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt.
Die Schwachstelle kann durch das Filtern von mittels Firewalling mitigiert werden.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Exploit-DB (43164) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.2
VulDB Base Score: 5.3
VulDB Temp Score: 4.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Timeline
20.11.2017 🔍20.11.2017 🔍
20.11.2017 🔍
20.11.2017 🔍
21.11.2017 🔍
25.07.2024 🔍
Quellen
Advisory: gh0s7.netStatus: Nicht definiert
CVE: CVE-2017-16902 (🔍)
GCVE (CVE): GCVE-0-2017-16902
GCVE (VulDB): GCVE-100-109757
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 21.11.2017 07:49Aktualisierung: 25.07.2024 09:27
Anpassungen: 21.11.2017 07:49 (58), 09.12.2019 08:55 (4), 25.07.2024 09:27 (18)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.