| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung problematisch in Apache Wicket gefunden. Davon betroffen ist unbekannter Code. Die Manipulation führt zu Directory Traversal. Die Identifikation der Schwachstelle wird mit CVE-2012-1089 vorgenommen. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
In Apache Wicket wurde eine kritische Schwachstelle gefunden. Betroffen ist ein unbekannter Teil. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-22. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:
Directory traversal vulnerability in Apache Wicket 1.4.x before 1.4.20 and 1.5.x before 1.5.5 allows remote attackers to read arbitrary web-application files via a relative pathname in a URL for a Wicket resource that corresponds to a null package.Die Schwachstelle wurde am 22.03.2012 durch Sebastian van Erk (Website) an die Öffentlichkeit getragen. Auf wicket.apache.org kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 14.02.2012 mit CVE-2012-1089 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1006 für diese Schwachstelle.
Es wurde 2 Jahre nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $5k-$25k auf dem Schwarzmarkt.
Ein Upgrade auf die Version 1.4.20 oder 1.5.5 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Apache hat folglich sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (74276), SecurityFocus (BID 52679†), OSVDB (80301†), Secunia (SA48499†) und SecurityTracker (ID 1026846†) dokumentiert. Die Einträge VDB-4881 sind sehr ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Version
- 1.4.0
- 1.4.1
- 1.4.2
- 1.4.3
- 1.4.4
- 1.4.5
- 1.4.6
- 1.4.7
- 1.4.8
- 1.4.9
- 1.4.10
- 1.4.11
- 1.4.12
- 1.4.13
- 1.4.14
- 1.4.15
- 1.4.16
- 1.4.17
- 1.4.18
- 1.4.19
- 1.5.0
- 1.5.1
- 1.5.2
- 1.5.3
- 1.5.4
Lizenz
Webseite
- Hersteller: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 6.5
VulDB Base Score: 7.5
VulDB Temp Score: 6.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Upgrade: Wicket 1.4.20/1.5.5
Timeline
14.02.2012 🔍22.03.2012 🔍
22.03.2012 🔍
22.03.2012 🔍
23.03.2012 🔍
23.03.2012 🔍
23.03.2012 🔍
24.03.2012 🔍
05.03.2013 🔍
25.04.2018 🔍
Quellen
Hersteller: apache.orgAdvisory: wicket.apache.org
Person: Sebastian van Erk
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2012-1089 (🔍)
GCVE (CVE): GCVE-0-2012-1089
GCVE (VulDB): GCVE-100-4882
X-Force: 74276 - Apache Wicket directory traversal, Medium Risk
SecurityFocus: 52679 - Apache Wicket Hidden Files Information Disclosure Vulnerability
Secunia: 48499 - Apache Wicket Cross-Site Scripting and File Disclosure Vulnerabilities, Less Critical
OSVDB: 80301
SecurityTracker: 1026846
Siehe auch: 🔍
Eintrag
Erstellt: 24.03.2012 15:44Aktualisierung: 25.04.2018 12:26
Anpassungen: 24.03.2012 15:44 (65), 25.04.2018 12:26 (6)
Komplett: 🔍
Cache ID: 216:976:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.