| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in IBM Lotus Notes bis 7.0.2 gefunden. Es geht hierbei um eine nicht näher spezifizierte Funktion der Datei notes/. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2005-2454 geführt. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Lotus Notes ist ein System für das Management und die Verarbeitung auch wenig strukturierter Informationen in elektronischer Form für einen heterogenen Anwenderkreis. Dabei ist diese Definition eng an den Begriff “Groupware” geknüpft, Lotus Notes galt (und gilt noch) lange Zeit als die Standard-Groupware-Plattform. Carsten Eiram von Secunia Research hat herausgefunden, dass in den gegenwärtigen Software-Versionen standardmässig die Rechte für das Verzeichnis notes zu lax sind. Dabei hat "Everyone" die kompletten Rechte "Full Control". Ein lokaler Angreifer könnte so auf sensitive Dateien zugreifen und diese manipulieren. Der Fehler wurde in der Version 7.0.2 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (29660), SecurityFocus (BID 20612†), OSVDB (29761†), Secunia (SA27342†) und SecurityTracker (ID 1017086†) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86754 (IBM Lotus Notes Local Insecure Default Directory Permissions Vulnerability) zur Prüfung der Schwachstelle an.
Fehler wie diese entstehen vor allem während der Entwicklung, weil die Programmierer aus Komfort-Gründen die Rechte für ihre Tests zu lax setzen. Bevor die Software sodann publiziert wird, sollten die fehlerhaften Rechte jedoch wieder angepasst werden. Die Vergangenheit hat immerwieder gezeigt, dass es sehr schnell passieren kann, dass die erforderliche Anpassung vergessen und dadurch eine Sicherheitslücke aufgetan wird.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.ibm.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.6VulDB Meta Temp Score: 6.6
VulDB Base Score: 7.6
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: www-1.ibm.com
Timeline
22.07.2005 🔍04.08.2005 🔍
31.12.2005 🔍
31.12.2005 🔍
18.10.2006 🔍
18.10.2006 🔍
18.10.2006 🔍
18.10.2006 🔍
20.10.2006 🔍
07.11.2006 🔍
24.10.2007 🔍
30.06.2025 🔍
Quellen
Hersteller: ibm.comAdvisory: secunia.com⛔
Person: Carsten Eiram
Firma: Secunia Research
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2005-2454 (🔍)
GCVE (CVE): GCVE-0-2005-2454
GCVE (VulDB): GCVE-100-2620
CERT: 🔍
X-Force: 29660 - IBM Lotus Notes \, Medium Risk
SecurityFocus: 20612 - IBM Lotus Notes Local Insecure Default Directory Permissions Vulnerability
Secunia: 27342 - IBM Lotus Notes Insecure Default Directory Permissions, Less Critical
OSVDB: 29761 - IBM Lotus Notes Installation Default Permission Weakness
SecurityTracker: 1017086
Vulnerability Center: 13066 - IBM Lotus Notes Local Privilege Escalation Vulnerability, Medium
Vupen: ADV-2006-4093
Eintrag
Erstellt: 20.10.2006 15:05Aktualisierung: 30.06.2025 05:52
Anpassungen: 20.10.2006 15:05 (81), 10.07.2019 16:30 (8), 19.01.2025 05:50 (17), 30.06.2025 05:52 (2)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.