phpservermon src/psm/Service/User.php generatePasswordResetToken Information Disclosure
Zusammenfassung
In phpservermon wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Hierbei betrifft es die Funktion generatePasswordResetToken der Datei src/psm/Service/User.php. Durch Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden.
Diese Verwundbarkeit ist als CVE-2021-4240 gelistet. Ferner existiert ein Exploit.
Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Es wurde eine problematische Schwachstelle in phpservermon - die betroffene Version ist nicht klar definiert - gefunden. Es geht dabei um die Funktion generatePasswordResetToken der Datei src/psm/Service/User.php. Im Rahmen von CWE wurde eine Klassifizierung als CWE-1241 vorgenommen. Wie sich ein erfolgreicher Angriff genau auswirkt, ist nicht bekannt.
Die Schwachstelle wurde am 15.11.2022 publiziert. Bereitgestellt wird das Advisory unter huntr.dev. Die Identifikation der Schwachstelle wird mit CVE-2021-4240 vorgenommen. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Exploit kann von huntr.dev heruntergeladen werden. Er wird als proof-of-concept gehandelt. Durch die Suche von inurl:src/psm/Service/User.php können potentiell verwundbare Systeme gefunden werden.
Die Schwachstelle lässt sich durch das Einspielen des Patches 3daa804d5f56c55b3ae13bfac368bb84ec632193 lösen. Dieser kann von github.com bezogen werden.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Name
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.5VulDB Meta Temp Score: 3.4
VulDB Base Score: 2.6
VulDB Temp Score: 2.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔍
CNA Base Score: 2.6
CNA Vector (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-1241 / CWE-338 / CWE-331
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: 3daa804d5f56c55b3ae13bfac368bb84ec632193
Timeline
15.11.2022 🔍15.11.2022 🔍
15.11.2022 🔍
18.12.2022 🔍
Quellen
Produkt: github.comAdvisory: 3daa804d5f56c55b3ae13bfac368bb84ec632193
Status: Bestätigt
CVE: CVE-2021-4240 (🔍)
GCVE (CVE): GCVE-0-2021-4240
GCVE (VulDB): GCVE-100-213717
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 15.11.2022 22:36Aktualisierung: 18.12.2022 16:22
Anpassungen: 15.11.2022 22:36 (38), 15.11.2022 23:18 (8), 18.12.2022 16:15 (4), 18.12.2022 16:22 (21)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.