| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 2.4 | $0-$5k | 0.00 |
Zusammenfassung
In PeopleSoft People Tools 8.x wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente grid Memory Handler. Die Bearbeitung verursacht Information Disclosure. Der Angriff muss im lokalen Netzwerk durchgeführt werden. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
PeopleSoft ermöglicht eine effiziente Verwaltung von Ressourcen im Geschäftsleben: Human Resources, Geschäftsbeziehungen und Finanzen. PeopleTools 8.x kommt mit einer sogenannten grid-Option daher, mit deren Hilfe ein Benutzer die Resultate einer Suche in einer XLS-Tabelle speichern kann. Dieses Excel-Dokument wird im lokalen Browser des Benutzers angezeigt und lässt sich über die Save-Funktion dessen lokal abspeichern. Diese Ausgabedatei wird ebenfalls als temporäre Datei auf dem Webserver gespeichert. Leider werden dort fehlerhafte Rechte vergeben, so dass für jedermann eine Einsicht möglich ist. Jeder Benutzer mit Zugriffsrechten auf den Webserver und dem Wissen um die Lokation der temporären Dateien - der Dateiname wird "zufällif" bestimmt - kann diese einsehen. Mittels automatisierten Tools könnte dieser Angriff stark vereinfacht werden. PeopleSoft wurde rund einen Monat vor dem Veröffentlichen der Schwachstelle auf Bugtraq informiert. Sie bestätigten noch am gleichen Tag das Vorhandensein der Schwachstelle und veröffentlichten unter der PeopleSoft Solution ID 200749183 einen Workaround. Mit diesem Patch werden die besagten Excel-Buttons "unsichtbar" gemacht, sind nicht mehr benutzbar und deshalb die Schwachstelle so nicht mehr gegeben. Unter anderem wird der Fehler auch in den Datenbanken von OSVDB (2654†) und Secunia (SA9972†) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Eine brisante Schwachstelle, die bei geschickter Ausnutzung durch einen Angreifer enormen Schaden für ein Unternehmen bringen kann. Zwar ist das Ausnutzen der Schwachstelle nicht gerade einfach. Trotzdem gilt es unverzüglich die Patches des Herstellers einzuspielen.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 2.6VulDB Meta Temp Score: 2.4
VulDB Base Score: 2.6
VulDB Temp Score: 2.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: peoplesoft.com
Timeline
07.10.2003 🔍08.10.2003 🔍
10.10.2003 🔍
26.06.2019 🔍
Quellen
Advisory: securityfocus.com⛔Person: Barrett McGuire, Larry Wargo, Matt Fotter
Firma: i-assure
Status: Nicht definiert
GCVE (VulDB): GCVE-100-320
Secunia: 9972 - PeopleTools Grid Option Information Disclosure Vulnerability, Not Critical
OSVDB: 2654 - PeopleTools Grid Option Information Disclosure
SecuriTeam: securiteam.com
TecChannel: 1242 [404 Not Found]
Eintrag
Erstellt: 08.10.2003 11:42Aktualisierung: 26.06.2019 16:47
Anpassungen: 08.10.2003 11:42 (55), 26.06.2019 16:47 (5)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.