| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in TWIG gefunden. Betroffen ist eine unbekannte Funktion. Die Bearbeitung des Arguments ID verursacht SQL Injection. Die Verwundbarkeit wird als CVE-2001-1348 geführt. Ein Angriff ist aus der Distanz möglich. Es ist kein Exploit verfügbar. Es wird empfohlen, eine restriktive Firewall-Konfiguration zu implementieren.
Details
Eine Schwachstelle wurde in TWIG gefunden. Sie wurde als kritisch eingestuft. Davon betroffen ist eine unbekannte Funktion. Mit der Manipulation des Arguments id mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
TWIG 2.6.2 and earlier allows remote attackers to perform unauthorized database operations via a SQL injection attack on the id parameter.Entdeckt wurde das Problem am 28.05.2001. Die Schwachstelle wurde am 28.05.2001 (Website) veröffentlicht. Das Advisory kann von archives.neohapsis.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2001-1348 statt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 10352 (TWIG Webmail SQL Query Modification Vulnerability) zur Prüfung der Schwachstelle an.
Die Schwachstelle kann durch das Filtern von mittels Firewalling mitigiert werden.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (6619), SecurityFocus (BID 2791†), OSVDB (10161†) und Vulnerability Center (SBV-6467†) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Name
Version
- 2.0
- 2.0 Beta1
- 2.0 Beta2
- 2.0 Beta3
- 2.0.1
- 2.0.2
- 2.0.3
- 2.1
- 2.1.1
- 2.2
- 2.2.1
- 2.2.2
- 2.2.3
- 2.3.1
- 2.3.2
- 2.4
- 2.5
- 2.5.1
- 2.6
- 2.6.1
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.1
VulDB Base Score: 7.3
VulDB Temp Score: 7.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Timeline
28.05.2001 🔍28.05.2001 🔍
28.05.2001 🔍
28.05.2001 🔍
28.05.2001 🔍
14.12.2004 🔍
04.07.2014 🔍
26.09.2025 🔍
Quellen
Advisory: archives.neohapsis.comStatus: Nicht definiert
CVE: CVE-2001-1348 (🔍)
GCVE (CVE): GCVE-0-2001-1348
GCVE (VulDB): GCVE-100-16700
X-Force: 6619
SecurityFocus: 2791 - TWIG Webmail SQL Query Modification Vulnerability
OSVDB: 10161 - TWIG Webmail SQL query modification
Vulnerability Center: 6467 - SQL Injection in TWIG <= 2.6.1 Allows Database Modification, Medium
Eintrag
Erstellt: 04.07.2014 11:20Aktualisierung: 26.09.2025 09:29
Anpassungen: 04.07.2014 11:20 (56), 03.06.2019 09:39 (3), 26.09.2025 09:29 (18)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.