Apex Softcell LD Geo API Endpoint Client ID/DPID/BOID Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung problematisch in Apex Softcell LD Geo gefunden. Betroffen hiervon ist ein unbekannter Ablauf der Komponente API Endpoint. Durch das Manipulieren des Arguments Client ID/DPID/BOID mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2024-47087 gehandelt. Der Angriff kann remote ausgeführt werden. Es ist soweit kein Exploit verfügbar.
Details
Eine problematische Schwachstelle wurde in Apex Softcell LD Geo - die betroffene Version ist nicht genau spezifiziert - ausgemacht. Hierbei geht es um unbekannter Programmcode der Komponente API Endpoint. Durch das Beeinflussen des Arguments Client ID/DPID/BOID mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-359. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:
This vulnerability exists in Apex Softcell LD Geo due to improper validation of the certain parameters (Client ID, DPID or BOID) in the API endpoint. An authenticated remote attacker could exploit this vulnerability by manipulating parameters in the API request body leading to exposure of sensitive information belonging to other users.Die Schwachstelle wurde durch Mohit Gadiya als CIVN-2024-0296 veröffentlicht. Das Advisory kann von cert-in.org.in heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 18.09.2024 als CVE-2024-47087 statt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1589.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.3
VulDB Base Score: 4.3
VulDB Temp Score: 4.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-359
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
18.09.2024 🔍19.09.2024 🔍
19.09.2024 🔍
27.09.2024 🔍
Quellen
Advisory: CIVN-2024-0296Person: Mohit Gadiya
Status: Nicht definiert
CVE: CVE-2024-47087 (🔍)
GCVE (CVE): GCVE-0-2024-47087
GCVE (VulDB): GCVE-100-278144
Eintrag
Erstellt: 19.09.2024 11:45Aktualisierung: 27.09.2024 04:18
Anpassungen: 19.09.2024 11:45 (66), 20.09.2024 09:10 (1), 27.09.2024 04:18 (11)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.