Pritunl 1.29.2145.25 Error Message /auth/session Benutzername Information Disclosure ⚔ [Infragegestellt]
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Zusammenfassung
In Pritunl 1.29.2145.25 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es ist betroffen eine unbekannte Funktion der Datei /auth/session der Komponente Error Message Handler. Mit der Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle (Benutzername) ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2020-25200 gelistet. Es existiert kein Exploit. Zum jetzigen Zeitpunkt bestehen weiterhin Zweifel an der tatsächlichen Existenz dieser Schwachstelle.
Details
Es wurde eine Schwachstelle in Pritunl 1.29.2145.25 ausgemacht. Sie wurde als problematisch eingestuft. Es geht dabei um eine unbekannte Verarbeitung der Datei /auth/session der Komponente Error Message Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Username) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Dies hat Einfluss auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Pritunl 1.29.2145.25 allows attackers to enumerate valid VPN usernames via a series of /auth/session login attempts. Initially, the server will return error 401. However, if the username is valid, then after 20 login attempts, the server will start responding with error 400. Invalid usernames will receive error 401 indefinitely.Die Schwachstelle wurde am 01.10.2020 publiziert. Die Identifikation der Schwachstelle wird seit dem 04.09.2020 mit CVE-2020-25200 vorgenommen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1592 aus.
Die wahre Existenz der vermeintlichen Schwachstelle wird zur Zeit in Frage gestellt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.3
VulDB Base Score: 3.3
VulDB Temp Score: 3.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: UsernameKlasse: Information Disclosure / Username
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
04.09.2020 🔍01.10.2020 🔍
02.10.2020 🔍
04.08.2024 🔍
Quellen
Status: Nicht definiertInfragegestellt: 🔍
CVE: CVE-2020-25200 (🔍)
GCVE (CVE): GCVE-0-2020-25200
GCVE (VulDB): GCVE-100-162177
Eintrag
Erstellt: 02.10.2020 08:51Aktualisierung: 04.08.2024 19:11
Anpassungen: 02.10.2020 08:51 (35), 02.10.2020 08:56 (3), 14.11.2020 09:36 (5), 15.11.2020 14:36 (14), 04.08.2024 19:11 (17)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.