| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung kritisch in ServiceNow Now Platform gefunden. Dabei betrifft es einen unbekannter Codeteil. Dank Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2024-5178 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Eine kritische Schwachstelle wurde in ServiceNow Now Platform - die betroffene Version ist nicht genau spezifiziert - entdeckt. Dies betrifft ein unbekannter Teil. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-285. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
ServiceNow has addressed a sensitive file read vulnerability that was identified in the Washington DC, Vancouver, and Utah Now Platform releases. This vulnerability could allow an administrative user to gain unauthorized access to sensitive files on the web application server. The vulnerability is addressed in the listed patches and hot fixes, which were released during the June 2024 patching cycle. If you have not done so already, we recommend applying security patches relevant to your instance as soon as possible.Die Schwachstelle wurde durch Adam Kues als KB1648312 veröffentlicht. Auf support.servicenow.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 21.05.2024 als CVE-2024-5178 statt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Das Angehen einer erweiterte Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1548.002 für diese Schwachstelle.
Die Schwachstelle lässt sich durch das Einspielen des Patches Utah Patch 10 Hot Fix 3/Utah Patch 10a Hot Fix 2/Utah Patch 10b Hot Fix 1/Vancouver Patch 6 Hot Fix 2/Vancouver Patch 7 Hot Fix 3b/Vancouver Patch 8 Hot Fix 4/Vancouver Patch 9 Hot Fix 1/Vancouver Patch 10/Washington DC Patch 1 Hot Fix 3b beheben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Meta Base Score: 7.2VulDB Meta Temp Score: 6.9
VulDB Base Score: 7.2
VulDB Temp Score: 6.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-285 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: Utah Patch 10 Hot Fix 3/Utah Patch 10a Hot Fix 2/Utah Patch 10b Hot Fix 1/Vancouver Patch 6 Hot Fix 2/Vancouver Patch 7 Hot Fix 3b/Vancouver Patch 8 Hot Fix 4/Vancouver Patch 9 Hot Fix 1/Vancouver Patch 10/Washington DC Patch 1 Hot Fix 3b
Timeline
21.05.2024 🔍10.07.2024 🔍
10.07.2024 🔍
12.07.2024 🔍
Quellen
Advisory: KB1648312Person: Adam Kues
Status: Bestätigt
CVE: CVE-2024-5178 (🔍)
GCVE (CVE): GCVE-0-2024-5178
GCVE (VulDB): GCVE-100-271082
Eintrag
Erstellt: 10.07.2024 18:47Aktualisierung: 12.07.2024 10:12
Anpassungen: 10.07.2024 18:47 (66), 11.07.2024 09:18 (2), 12.07.2024 10:12 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
I don't find this cpe inside the NIST NVD dictionary, rather I read the following
servicenow:servicenow
Could you please update?
Are you interested in using VulDB?
Download the whitepaper to learn more about our service!