CherryPy bis 2.1.0 Rc2 Directory Traversal

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.8$0-$5k0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in CherryPy gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion. Dank der Manipulation mit unbekannten Daten kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2006-0847 vorgenommen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

Eine Schwachstelle wurde in CherryPy ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Codeteil. Dank der Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-22. Auswirkungen hat dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

Directory traversal vulnerability in the staticfilter component in CherryPy before 2.1.1 allows remote attackers to read arbitrary files via ".." sequences in unspecified vectors.

Gefunden wurde das Problem am 21.02.2006. Die Schwachstelle wurde am 21.02.2006 (Website) herausgegeben. Bereitgestellt wird das Advisory unter xforce.iss.net. Die Verwundbarkeit wird seit dem 22.02.2006 mit der eindeutigen Identifikation CVE-2006-0847 gehandelt. Die Ausnutzbarkeit ist als leicht bekannt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1006 aus.

Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 31.05.2006 ein Plugin mit der ID 21614 (GLSA-200605-16 : CherryPy: Directory traversal vulnerability) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext l ausgeführt.

Ein Aktualisieren auf die Version 2.1.1 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah 4 Monate nach der Veröffentlichung der Schwachstelle. Die Entwickler haben so fahrlässig langsam und zu spät gehandelt.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (24809), Tenable (21614), SecurityFocus (BID 16760†), OSVDB (23367†) und Secunia (SA18944†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.8

VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Directory Traversal
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 21614
Nessus Name: GLSA-200605-16 : CherryPy: Directory traversal vulnerability
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 56837
OpenVAS Name: Gentoo Security Advisory GLSA 200605-16 (cherrypy)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: CherryPy 2.1.1

Timelineinfo

21.02.2006 🔍
21.02.2006 +0 Tage 🔍
21.02.2006 +0 Tage 🔍
21.02.2006 +0 Tage 🔍
21.02.2006 +0 Tage 🔍
21.02.2006 +0 Tage 🔍
22.02.2006 +1 Tage 🔍
27.02.2006 +5 Tage 🔍
30.05.2006 +92 Tage 🔍
31.05.2006 +1 Tage 🔍
12.03.2015 +3207 Tage 🔍
14.06.2019 +1555 Tage 🔍

Quelleninfo

Advisory: xforce.iss.net
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2006-0847 (🔍)
GCVE (CVE): GCVE-0-2006-0847
GCVE (VulDB): GCVE-100-28853
X-Force: 24809
SecurityFocus: 16760 - CherryPy StaticFilter Directory Traversal Vulnerability
Secunia: 18944 - CherryPy "staticfilter" Directory Traversal Vulnerability, Moderately Critical
OSVDB: 23367 - CVE-2006-0847 - CherryPy - StaticFilter - Directory Traversal Issue
Vulnerability Center: 10475 - CherryPy Directory Traversal via Requests Passing Through \x27staticFilter\x27 Module, Medium
Vupen: ADV-2006-0677

Eintraginfo

Erstellt: 12.03.2015 11:11
Aktualisierung: 14.06.2019 16:51
Anpassungen: 12.03.2015 11:11 (72), 14.06.2019 16:51 (9)
Komplett: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!