Korn19 UTF-8 CuteNews bis 7 index.php Cross Site Request Forgery
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
In Korn19 UTF-8 CuteNews bis 7 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Datei index.php. Durch Manipulation mit unbekannten Daten kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2009-4173 gehandelt. Der Angriff kann über das Netzwerk passieren. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in Korn19 UTF-8 CuteNews bis 7 (Content Management System) entdeckt. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Datei index.php. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-352. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Cross-site request forgery (CSRF) vulnerability in CutePHP CuteNews 1.4.6 and UTF-8 CuteNews before 8b allows remote attackers to hijack the authentication of administrators for requests that create new users, including a new administrator, via an adduser action in the editusers module in index.php.Die Schwachstelle wurde am 02.12.2009 durch Andrew Horton (Website) herausgegeben. Bereitgestellt wird das Advisory unter securityfocus.com. Die Verwundbarkeit wird seit dem 02.12.2009 mit der eindeutigen Identifikation CVE-2009-4173 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Download des Exploits kann von securityfocus.com geschehen. Er wird als hoch funktional gehandelt. Durch die Suche von inurl:index.php können potentiell verwundbare Systeme gefunden werden.
Ein Aktualisieren auf die Version 8 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (54240), Exploit-DB (33344) und SecurityFocus (BID 36971†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-51083, VDB-51082, VDB-51007 und VDB-51006. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site Request ForgeryCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 801056
OpenVAS Name: CuteNews/UTF-8 CuteNews Multiple Vulneablities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: UTF-8 CuteNews 8
Timeline
10.11.2009 🔍02.12.2009 🔍
02.12.2009 🔍
02.12.2009 🔍
18.03.2015 🔍
29.03.2025 🔍
Quellen
Advisory: securityfocus.com⛔Person: Andrew Horton
Status: Bestätigt
CVE: CVE-2009-4173 (🔍)
GCVE (CVE): GCVE-0-2009-4173
GCVE (VulDB): GCVE-100-51005
X-Force: 54240 - CuteNews index.php cross-site request forgery
SecurityFocus: 36971 - CuteNews and UTF-8 CuteNews Multiple Security Vulnerabilities
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 18.03.2015 15:15Aktualisierung: 29.03.2025 01:13
Anpassungen: 18.03.2015 15:15 (58), 19.12.2017 08:16 (7), 29.03.2025 01:13 (17)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.