| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in OAuth and OpenID 2.0 ausgemacht. Es geht um eine nicht näher bekannte Funktion. Die Veränderung resultiert in erweiterte Rechte. Es ist kein Exploit verfügbar.
Details
Es wurde eine Schwachstelle in OAuth sowie OpenID 2.0 entdeckt. Sie wurde als problematisch eingestuft. Es betrifft unbekannter Code. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-269 vorgenommen. Dies hat Einfluss auf die Integrität.
Die Schwachstelle wurde am 06.05.2014 durch Wang Jing in Form eines nicht definierten Advisories (Website) publiziert. Bereitgestellt wird das Advisory unter tetraph.com. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus. Das Advisory weist darauf hin:
It could lead to Open Redirect attacks to both clients and providers of OAuth 2.0 or OpenID. For OAuth 2.0, these attacks might jeopardize “the token” of the site users, which could be used to access user information. Das Advisory stellt fest:
The patch of this vulnerability is easier said than done. If all the third-party applications strictly adhere to using a whitelist. Then there would be no room for attacks. However, in the real world, a large number of third-party applications do not do this due to various reasons. This makes the systems based on OAuth 2.0 or OpenID highly vulnerable. An alternative solution is the providers developing a more thorough verification procedure to prevent such attacks.Unter anderem wird der Fehler auch in den Datenbanken von X-Force (93031), SecurityFocus (BID 67196†) und OSVDB (106567†) dokumentiert. Weitere Informationen werden unter tetraph.com bereitgestellt. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Name
Version
CPE 2.3
CPE 2.2
Video
Youtube: Nicht mehr verfügbarCVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.7
VulDB Base Score: 5.3
VulDB Temp Score: 4.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
02.05.2014 🔍06.05.2014 🔍
12.05.2014 🔍
02.04.2019 🔍
Quellen
Advisory: tetraph.comPerson: Wang Jing
Status: Nicht definiert
GCVE (VulDB): GCVE-100-13185
X-Force: 93031 - OAuth and OpenID open redirect, Medium Risk
SecurityFocus: 67196 - OAuth and OpenID Open Redirection Vulnerability
OSVDB: 106567
Diverses: 🔍
Eintrag
Erstellt: 12.05.2014 10:51Aktualisierung: 02.04.2019 00:18
Anpassungen: 12.05.2014 10:51 (48), 02.04.2019 00:18 (2)
Komplett: 🔍
Cache ID: 216:109:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.