supervisor bis 4.0.2 supervisord schwache Authentisierung ⚔ [Infragegestellt]
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in supervisor bis 4.0.2 gefunden. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente supervisord. Durch die Manipulation mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2019-12105. Der Angriff lässt sich über das Netzwerk starten. Es gibt keinen verfügbaren Exploit. Die reale Existenz dieser Sicherheitslücke ist momentan noch umstritten. Es wird geraten, die betroffene Komponente durch eine alternative Komponente auszutauschen.
Details
Es wurde eine Schwachstelle in supervisor bis 4.0.2 gefunden. Sie wurde als kritisch eingestuft. Dabei betrifft es ein unbekannter Prozess der Komponente supervisord. Mit der Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-306 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
In supervisord in Supervisor through 4.0.2, an unauthenticated user can read log files or restart a service. WARNING: This issue will not be fixed by the maintainer. The ability to run an open server will not be removed because users often use it for local development, therefore no action will be taken.Die Schwachstelle wurde am 10.09.2019 publik gemacht. Die Verwundbarkeit wird seit dem 15.05.2019 unter CVE-2019-12105 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Die wahre Existenz der vermeintlichen Schwachstelle wird zur Zeit in Frage gestellt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 255171 (Linux Distros Unpatched Vulnerability : CVE-2019-12105) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Das Problem kann durch den Einsatz von als alternatives Produkt mitigiert werden.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (255171) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.7VulDB Meta Temp Score: 7.6
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 8.2
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-306 / CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 255171
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2019-12105
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔍
Patch: github.com
Timeline
15.05.2019 🔍10.09.2019 🔍
11.09.2019 🔍
26.08.2025 🔍
Quellen
Produkt: github.comAdvisory: 4e334d9cf2a1daff685893e35e72398437df3dcb
Status: Bestätigt
Infragegestellt: 🔍
CVE: CVE-2019-12105 (🔍)
GCVE (CVE): GCVE-0-2019-12105
GCVE (VulDB): GCVE-100-141528
Eintrag
Erstellt: 11.09.2019 07:11Aktualisierung: 26.08.2025 19:18
Anpassungen: 11.09.2019 07:11 (36), 18.08.2020 20:10 (17), 19.12.2023 08:10 (5), 11.06.2024 22:36 (15), 05.08.2024 02:02 (4), 26.08.2025 19:18 (7)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.