| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine als kritisch eingestufte Schwachstelle wurde in GNU Inkscape bis 0.44 festgestellt. Dies betrifft einen unbekannten Teil. Durch Manipulieren mit unbekannten Daten kann eine Format String-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2007-1463 geführt. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Inkscape ist ein freies vektorbasiertes Grafik- und Zeichenprogramm. Inkscape eignet sich beispielsweise zum Erstellen von Logos, Vektorkunst, technischen Diagrammen etc. Ein primäres Ziel dieses Projektes ist die Konformität zum SVG-Standard. Weiterhin wird auf offenen Zugriff zur Codebasis für Entwickler und Mitwirkende großer Wert gelegt. In den genannten Version der Applikation bestehen verschiedene Format String Schwachstellen, die zur Ausführung beliebigen Codes auf dem Zielrechner genutzt werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (33163), Tenable (25055), SecurityFocus (BID 23138†), OSVDB (34370†) und Secunia (SA24859†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-35738. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Für den Vulnerability Scanner Nessus wurde am 19.04.2007 ein Plugin mit der ID 25055 (GLSA-200704-10 : Inkscape: Two format string vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext l ausgeführt.
InkScape avanciert derzeit zu einem sehr populären Tool, was nicht allzu sehr überrascht, betrachtet man die Preise der kommerziellen Konkurrenzprodukte. Tatsächlich kann der Funktionsumfang durchaus überzeuge, was die Entwickler dennoch nicht vor Sicherheitsrisiken schützt. Anwender sollten baldmöglichst auf Version 0.45.1 upgraden um ihr Risiko zu mindern.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.gnu.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.4
VulDB Base Score: 7.3
VulDB Temp Score: 6.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Format StringCWE: CWE-134 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 25055
Nessus Name: GLSA-200704-10 : Inkscape: Two format string vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 830005
OpenVAS Name: Zoho ManageEngine Support Center Plus Multiple Fields XSS Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
15.03.2007 🔍20.03.2007 🔍
21.03.2007 🔍
21.03.2007 🔍
22.03.2007 🔍
22.03.2007 🔍
26.03.2007 🔍
30.03.2007 🔍
01.04.2007 🔍
16.04.2007 🔍
17.04.2007 🔍
19.04.2007 🔍
17.07.2019 🔍
Quellen
Hersteller: gnu.orgAdvisory: sourceforge.net
Person: Kees Cook
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-1463 (🔍)
GCVE (CVE): GCVE-0-2007-1463
GCVE (VulDB): GCVE-100-2989
X-Force: 33163 - Inkscape multiple dialogs format string, High Risk
SecurityFocus: 23138 - Inkscape Client Malicious Jabber Server Format String Vulnerability
Secunia: 24859 - Gentoo update for inkscape, Moderately Critical
OSVDB: 34370 - Inkscape URI Handling Format String
Vulnerability Center: 14730 - Inkscape Format String Vulnerability Allows User-Assisted remote Code Execution, Medium
Vupen: ADV-2007-1059
Siehe auch: 🔍
Eintrag
Erstellt: 30.03.2007 11:56Aktualisierung: 17.07.2019 09:41
Anpassungen: 30.03.2007 11:56 (94), 17.07.2019 09:41 (1)
Komplett: 🔍
Cache ID: 216:4DE:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.