MegaMek bis 0.45.0 Object Stream Connection erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.4$0-$5k0.00

Zusammenfassunginfo

Eine kritische Schwachstelle wurde in MegaMek bis 0.45.0 gefunden. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente Object Stream Connection. Die Bearbeitung verursacht erweiterte Rechte. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2018-1000824 gehandelt. Der Angriff lässt sich über das Netzwerk starten. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

Es wurde eine Schwachstelle in MegaMek bis 0.45.0 gefunden. Sie wurde als kritisch eingestuft. Betroffen hiervon ist unbekannter Programmcode der Komponente Object Stream Connection. Durch Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-502 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

MegaMek version < v0.45.1 contains a Other/Unknown vulnerability in Object Stream Connection that can result in Disclosure of confidential data, denial of service, SSRF, remote code execution.

Am 29.09.2018 wurde das Problem entdeckt. Die Schwachstelle wurde am 20.12.2018 (Website) publik gemacht. Auf 0dd.zone kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 20.12.2018 unter CVE-2018-1000824 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Insgesamt wurde die Schwachstelle mindestens 82 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.

Ein Upgrade auf die Version 0.45.1 vermag dieses Problem zu beheben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.5
VulDB Meta Temp Score: 8.4

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-502 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: MegaMek 0.45.1

Timelineinfo

29.09.2018 🔍
20.12.2018 +82 Tage 🔍
20.12.2018 +0 Tage 🔍
20.12.2018 +0 Tage 🔍
21.12.2018 +1 Tage 🔍
20.06.2023 +1642 Tage 🔍

Quelleninfo

Advisory: 1162
Status: Nicht definiert

CVE: CVE-2018-1000824 (🔍)
GCVE (CVE): GCVE-0-2018-1000824
GCVE (VulDB): GCVE-100-128154

Eintraginfo

Erstellt: 21.12.2018 08:11
Aktualisierung: 20.06.2023 08:29
Anpassungen: 21.12.2018 08:11 (58), 22.04.2020 10:58 (1), 20.06.2023 08:29 (4)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!