| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Zusammenfassung
In Enthrallweb eNews wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion der Datei myprofile.asp. Durch die Manipulation des Arguments MM_recordId mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2006-6821 bekannt. Darüber hinaus steht ein Exploit zur Verfügung.
Details
Eine Schwachstelle wurde in Enthrallweb eNews - die betroffene Version ist nicht genau spezifiziert - gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um ein unbekannter Codeblock der Datei myprofile.asp. Mittels Manipulieren des Arguments MM_recordId mit einer unbekannten Eingabe kann eine unbekannte Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
myprofile.asp in Enthrallweb eNews does not properly validate the MM_recordId parameter during profile updates, which allows remote authenticated users to modify certain profile fields of another account by specifying that account s username in a modified MM_recordId parameter.Die Schwachstelle wurde am 29.12.2006 durch ajann (Website) veröffentlicht. Auf vupen.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 29.12.2006 als CVE-2006-6821 statt. Der Angriff kann über das Netzwerk passieren. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Exploit wird unter securityfocus.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Potentiell verwundbare Systeme können mit dem Google Dork inurl:myprofile.asp gefunden werden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (2996), SecurityFocus (BID 21739†) und Secunia (SA23518†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-34107 und VDB-34105. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
26.12.2006 🔍29.12.2006 🔍
29.12.2006 🔍
29.12.2006 🔍
12.03.2015 🔍
16.09.2024 🔍
Quellen
Advisory: vupen.com⛔Person: ajann
Status: Nicht definiert
CVE: CVE-2006-6821 (🔍)
GCVE (CVE): GCVE-0-2006-6821
GCVE (VulDB): GCVE-100-34106
SecurityFocus: 21739 - EnthrallWeb Multiple Products Myprofile.ASP Arbitrary User Password Change Vulnerability
Secunia: 23518
Vupen: ADV-2006-5156
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 12.03.2015 22:21Aktualisierung: 16.09.2024 06:11
Anpassungen: 12.03.2015 22:21 (53), 02.10.2017 10:48 (2), 13.08.2024 01:13 (19), 16.09.2024 06:11 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.