Angrydonuts CTools bis 6.x-1.x Chaos Tool Suite page_manager_handler_import_validate erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Angrydonuts CTools 6.x-1.0/6.x-1.1/6.x-1.2/6.x-1.3/6.x-1.x gefunden. Es geht hierbei um die Funktion page_manager_handler_import_validate der Komponente Chaos Tool Suite. Die Manipulation führt zu erweiterte Rechte.
Diese Schwachstelle trägt die Bezeichnung CVE-2010-1546. Es gibt keinen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
In Angrydonuts CTools 6.x-1.0/6.x-1.1/6.x-1.2/6.x-1.3/6.x-1.x wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um die Funktion page_manager_handler_import_validate der Komponente Chaos Tool Suite. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-94. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Multiple eval injection vulnerabilities in the import functionality in the Chaos Tool Suite (aka CTools) module 6.x before 6.x-1.4 for Drupal allow remote authenticated users, with "administer page manager" privileges, to execute arbitrary PHP code via input to a text area, related to (1) the page_manager_page_import_subtask_validate function in page_manager/plugins/tasks/page.admin.inc and (2) the page_manager_handler_import_validate function in page_manager/page_manager.admin.inc.Die Schwachstelle wurde am 21.05.2010 durch Martin Barbella (Website) an die Öffentlichkeit getragen. Das Advisory kann von seclists.org heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 26.04.2010 mit CVE-2010-1546 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.
Ein Upgrade auf die Version 6.x-1.0 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (58723), SecurityFocus (BID 40285†) und Secunia (SA39884†) dokumentiert. Die Schwachstellen VDB-53311, VDB-53310 und VDB-53309 sind ähnlich. Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: CTools 6.x-1.0
Timeline
26.04.2010 🔍19.05.2010 🔍
21.05.2010 🔍
21.05.2010 🔍
19.03.2015 🔍
05.02.2019 🔍
Quellen
Advisory: seclists.orgPerson: Martin Barbella
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2010-1546 (🔍)
GCVE (CVE): GCVE-0-2010-1546
GCVE (VulDB): GCVE-100-53308
X-Force: 58723
SecurityFocus: 40285 - Drupal Chaos Tool Suite Module Multiple Remote Vulnerabilities
Secunia: 39884
Siehe auch: 🔍
Eintrag
Erstellt: 19.03.2015 12:22Aktualisierung: 05.02.2019 15:42
Anpassungen: 19.03.2015 12:22 (50), 05.02.2019 15:42 (8)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.