10-Strike Network Monitor 5.4 srvInventoryWebServer Search Path erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in 10-Strike Network Monitor 5.4 gefunden. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente srvInventoryWebServer. Durch das Beeinflussen durch Search Path kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2018-6016 vorgenommen. Der Angriff muss auf lokaler Ebene erfolgen. Es existiert kein Exploit.
Details
Es wurde eine Schwachstelle in 10-Strike Network Monitor 5.4 gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um ein unbekannter Teil der Komponente srvInventoryWebServer. Mit der Manipulation durch Search Path kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-428 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Unquoted Windows search path vulnerability in the srvInventoryWebServer service in 10-Strike Network Monitor 5.4 allows local users to gain privileges via a malicious artefact.Am 30.01.2019 wurde das Problem entdeckt. Die Schwachstelle wurde am 12.03.2018 in Form eines nicht definierten Mailinglist Posts (Full-Disclosure) publik gemacht. Auf seclists.org kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 22.01.2018 unter CVE-2018-6016 geführt. Der Angriff hat dabei lokal zu erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1574.009 für diese Schwachstelle.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.5
VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-428 / CWE-426
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 880988
OpenVAS Name: ereg_replace( string:path_name, pattern:\s+(/|\-|\-\-).*, replace:
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
22.01.2018 🔍12.03.2018 🔍
12.03.2018 🔍
13.03.2018 🔍
30.01.2019 🔍
12.01.2020 🔍
Quellen
Advisory: seclists.orgStatus: Nicht definiert
CVE: CVE-2018-6016 (🔍)
GCVE (CVE): GCVE-0-2018-6016
GCVE (VulDB): GCVE-100-114402
Eintrag
Erstellt: 13.03.2018 07:41Aktualisierung: 12.01.2020 16:45
Anpassungen: 13.03.2018 07:41 (62), 12.01.2020 16:45 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.