Apache HTTP Server 2.0.28 PHP index.php HTTP OPTIONS Request Path Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Apache HTTP Server 2.0.28 ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Datei index.php der Komponente PHP. Durch das Manipulieren durch HTTP OPTIONS Request kann eine Information Disclosure-Schwachstelle (Path) ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2002-0240 gehandelt. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine problematische Schwachstelle wurde in Apache HTTP Server 2.0.28 (Web Server) entdeckt. Hierbei geht es um unbekannter Programmcode der Datei index.php der Komponente PHP. Durch die Manipulation durch HTTP OPTIONS Request kann eine Information Disclosure-Schwachstelle (Path) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
PHP, when installed with Apache and configured to search for index.php as a default web page, allows remote attackers to obtain the full pathname of the server via the HTTP OPTIONS method, which reveals the pathname in the resulting error message.Die Schwachstelle wurde am 29.05.2002 durch Paul in Form eines nicht definierten Postings (Bugtraq) veröffentlicht. Das Advisory kann von marc.theaimsgroup.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2002-0240 statt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.
Mittels inurl:index.php können durch Google Hacking potentiell verwundbare Systeme gefunden werden. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 10492 (Apache 2 OPTIONS Request Path Disclosure Vulnerability) zur Prüfung der Schwachstelle an.
Ein Upgrade vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (8119), SecurityFocus (BID 4057†) und Vulnerability Center (SBV-4757†) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: PathKlasse: Information Disclosure / Path
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
07.02.2002 🔍07.02.2002 🔍
29.05.2002 🔍
29.05.2002 🔍
18.07.2004 🔍
11.07.2014 🔍
21.09.2025 🔍
Quellen
Hersteller: apache.orgAdvisory: marc.theaimsgroup.com
Person: Paul
Status: Bestätigt
CVE: CVE-2002-0240 (🔍)
GCVE (CVE): GCVE-0-2002-0240
GCVE (VulDB): GCVE-100-18164
X-Force: 8119
SecurityFocus: 4057 - Apache 2 for Windows OPTIONS request Path Disclosure Vulnerability
Vulnerability Center: 4757 - Apache 2.0.28 Beta Allows Obtaining Path Disclosure via HTTP OPTIONS, Medium
Eintrag
Erstellt: 11.07.2014 14:00Aktualisierung: 21.09.2025 00:03
Anpassungen: 11.07.2014 14:00 (63), 23.05.2019 09:40 (1), 21.09.2025 00:03 (20)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.