PvPGN 1.6.0/1.6.1/1.6.2/1.6.3 Account Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.9$0-$5k0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in PvPGN 1.6.0/1.6.1/1.6.2/1.6.3 entdeckt. Sie wurde als problematisch eingestuft. Es geht hierbei um eine nicht näher spezifizierte Funktion der Komponente Konto. Die Manipulation führt zu Information Disclosure. Die Identifikation der Schwachstelle wird mit CVE-2004-2705 vorgenommen. Ferner existiert ein Exploit. Es wird geraten, zusätzliche Authentifizierung einzuführen.

Detailsinfo

In PvPGN 1.6.0/1.6.1/1.6.2/1.6.3 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist ein unbekannter Teil der Komponente Account. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-200. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:

Unspecified vulnerability in Player vs. Player Gaming Network (PvPGN) before 1.6.4 allows remote attackers to obtain attributes of arbitrary accounts, including the password hash, via certain statsreq packets.

Die Schwachstelle wurde am 23.08.2004 durch dizzy (Website) an die Öffentlichkeit getragen. Das Advisory kann von securityfocus.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 06.10.2007 mit CVE-2004-2705 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.

Es wurde schon vor und nicht nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt.

Ein Upgrade auf die Version 1.6.4 vermag dieses Problem zu beheben. Das Problem kann auch durch die Einführung einer Authentisierung adressiert werden. Als bestmögliche Massnahme wird das zusätzliche Authentisieren empfohlen.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (17094), SecurityFocus (BID 11035†), OSVDB (9144†), Secunia (SA12360†) und SecurityTracker (ID 1011050†) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.9

VulDB Base Score: 5.3
VulDB Temp Score: 4.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Authentisierung
Status: 🔍

0-Day Time: 🔍

Upgrade: PvPGN 1.6.4

Timelineinfo

23.08.2004 🔍
23.08.2004 +0 Tage 🔍
24.08.2004 +0 Tage 🔍
24.08.2004 +0 Tage 🔍
24.08.2004 +0 Tage 🔍
25.08.2004 +0 Tage 🔍
31.12.2004 +128 Tage 🔍
06.10.2007 +1009 Tage 🔍
10.03.2015 +2712 Tage 🔍
30.06.2018 +1208 Tage 🔍

Quelleninfo

Advisory: securityfocus.com
Person: dizzy
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2004-2705 (🔍)
GCVE (CVE): GCVE-0-2004-2705
GCVE (VulDB): GCVE-100-23572
X-Force: 17094 - PvPGN statsreq packet information disclosure
SecurityFocus: 11035
Secunia: 12360 - PvPGN Unspecified Information Leakage, Less Critical
OSVDB: 9144 - PvPGN statsreq Packet Account Information Disclosure
SecurityTracker: 1011050

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 10.03.2015 12:14
Aktualisierung: 30.06.2018 09:16
Anpassungen: 10.03.2015 12:14 (60), 30.06.2018 09:16 (8)
Komplett: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to know what is going to be exploited?

We predict KEV entries!