| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Adobe ColdFusion MX 7.x ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil. Die Bearbeitung verursacht erweiterte Rechte. Diese Schwachstelle trägt die Bezeichnung CVE-2007-1874. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Mithilfe von ColdFusion lassen sich sehr schnell Webapplikationen oder Intra- Extranetanwendungen erstellen. Die einfache Tag-basierte Entwicklungssprache CFML ermöglicht einen einfachen Einstieg in die Programmierung und bietet erfahrenen Entwicklern mächtige Werkzeuge. Hierzu trägt auch die einfach gehaltene Installation und Administration des Servers bei. Ursprünglich rein prozedural ist ab Version 6.0 (ColdFusion MX) auch objektorientierte Programmierung in CFML möglich. In der aktuellen Version MX 7 ist es nach Angaben von Sean Larsson und Hans Omli möglich, aufgrund fehlerhafter Berechtigungen (world-writeable) verschiedene sensitive Dateien zu ändern um dadurch erweiterte Rechte zu erhalten. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (33571), SecurityFocus (BID 23405†), OSVDB (34930†), Secunia (SA24850†) und SecurityTracker (ID 1017899†) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
ColdFusion hat eine recht illustre Liste von Fehlern, die in der Vergangenheit schon so manchem Administrator Kopfzerbrechen bereitete, obschon einiges davon sicherlich auch den jeweiligen Applikationsentwicklern zuzuschreiben. Durch die vorliegende Lücke können Webapplikationen unter Umständen zu Gunsten des Angreifers manipuliert werden um vertrauliche Daten abzufangen oder auszulesen. Es empfiehlt sich daher, den von Adobe herausgegebenen Patch einzuspielen sowie die Berechtigungen manuell anzupassen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.2VulDB Meta Temp Score: 5.4
VulDB Base Score: 6.2
VulDB Temp Score: 5.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: adobe.com
Timeline
05.04.2007 🔍10.04.2007 🔍
10.04.2007 🔍
10.04.2007 🔍
10.04.2007 🔍
11.04.2007 🔍
11.04.2007 🔍
11.04.2007 🔍
11.04.2007 🔍
11.04.2007 🔍
18.04.2007 🔍
29.04.2007 🔍
18.07.2019 🔍
Quellen
Hersteller: adobe.comAdvisory: labs.idefense.com⛔
Person: Sean Larsson, Hans Omli
Firma: iDefense
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-1874 (🔍)
GCVE (CVE): GCVE-0-2007-1874
GCVE (VulDB): GCVE-100-3008
X-Force: 33571 - Adobe Macromedia ColdFusion MX Verity sub-directory privilege escalation, High Risk
SecurityFocus: 23405 - Adobe Macromedia ColdFusion Insecure File Permissions Vulnerability
Secunia: 24850
OSVDB: 34930 - Adobe ColdFusion MX on Unix Permission Weakness Local Privilege Escalation
SecurityTracker: 1017899
Vulnerability Center: 14955 - Adobe ColdFusion MX 7 Insecure Permissions Allow Local Code Execution and Information Disclosure, High
Vupen: ADV-2007-1341
Eintrag
Erstellt: 18.04.2007 11:12Aktualisierung: 18.07.2019 14:41
Anpassungen: 18.04.2007 11:12 (83), 18.07.2019 14:41 (1)
Komplett: 🔍
Cache ID: 216:A47:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.