Citrix Access Gateway vor 4.0 Advanced Access Control erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
Zusammenfassung
In Citrix Access Gateway wurde eine kritische Schwachstelle gefunden. Hierbei betrifft es unbekannten Programmcode der Komponente Advanced Access Control. Durch Beeinflussen mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2006-6572 statt. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine kritische Schwachstelle in Citrix Access Gateway (Connectivity Software) gefunden. Hiervon betroffen ist eine unbekannte Funktionalität der Komponente Advanced Access Control. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-269 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Unspecified vulnerability in Citrix Advanced Access Control (AAC) Option 4.0, and Access Gateway 4.2 with Advanced Access Control 4.2, before 20061114, when the Browser-Only access feature is enabled, allows remote authenticated users to bypass access policies via a certain login method, a different issue than CVE-2006-4846. NOTE: some of these details are obtained from third party information.Die Schwachstelle wurde am 15.12.2006 (Website) publiziert. Bereitgestellt wird das Advisory unter support.citrix.com. Die Identifikation der Schwachstelle wird seit dem 14.12.2006 mit CVE-2006-6572 vorgenommen. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus.
Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 4.0 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30302), SecurityFocus (BID 21080†), Secunia (SA22909†) und SecurityTracker (ID 1017227†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.citrix.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.5
VulDB Base Score: 6.3
VulDB Temp Score: 5.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Access Gateway 4.0
Timeline
14.11.2006 🔍15.11.2006 🔍
15.11.2006 🔍
14.12.2006 🔍
15.12.2006 🔍
15.12.2006 🔍
12.03.2015 🔍
01.10.2017 🔍
Quellen
Hersteller: citrix.comAdvisory: support.citrix.com
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-6572 (🔍)
GCVE (CVE): GCVE-0-2006-6572
GCVE (VulDB): GCVE-100-33861
X-Force: 30302 - Citrix Advanced Access Control login security bypass
SecurityFocus: 21080 - Citrix Access Gateway Advanced Access Control Multiple Vulnerabilities
Secunia: 22909 - Citrix Advanced Access Control Two Vulnerabilities, Moderately Critical
SecurityTracker: 1017227 - Citrix Advanced Access Control Lets Remote Authenticated Users Bypass Security Policy
Vupen: ADV-2006-4525
Eintrag
Erstellt: 12.03.2015 22:21Aktualisierung: 01.10.2017 20:51
Anpassungen: 12.03.2015 22:21 (59), 01.10.2017 20:51 (7)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.