| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.2 | $0-$5k | 0.00 |
Zusammenfassung
In Oracle GlassFish Enterprise Server 3.0.1/3.1.1 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es ist betroffen eine unbekannte Funktion der Komponente JSF. Durch Manipulation mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2011-4358 gelistet. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Es wurde eine Schwachstelle in Oracle GlassFish Enterprise Server 3.0.1/3.1.1 (Application Server Software) ausgemacht. Sie wurde als kritisch eingestuft. Es geht dabei um eine unbekannte Verarbeitung der Komponente JSF. Auswirkungen hat dies auf Vertraulichkeit und Integrität. Die Zusammenfassung von CVE lautet:
Unspecified vulnerability in Oracle GlassFish Enterprise Server 3.0.1 and 3.1.1 allows remote attackers to affect confidentiality and integrity, related to JSF.Die Schwachstelle wurde am 17.07.2012 als Patch Day July 2012 in Form eines bestätigten Advisories (Website) publiziert. Bereitgestellt wird das Advisory unter oracle.com. Die Identifikation der Schwachstelle wird seit dem 04.11.2011 mit CVE-2011-4358 vorgenommen. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Für den Vulnerability Scanner Nessus wurde am 12.01.2012 ein Plugin mit der ID 57500 (Debian DSA-2359-1 : mojarra - EL injection) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat daher sofort gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (71507), Tenable (57500), SecurityFocus (BID 50846†), SecurityTracker (ID 1027277†) und Vulnerability Center (SBV-34142†) dokumentiert. Auf Deutsch berichtet unter anderem Heise zum Fall. Die Einträge VDB-5783, VDB-5697, VDB-5766 und VDB-5728 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.2
VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 57500
Nessus Name: Debian DSA-2359-1 : mojarra - EL injection
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 70572
OpenVAS Name: Debian Security Advisory DSA 2359-1 (mojarra)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
04.11.2011 🔍29.11.2011 🔍
29.11.2011 🔍
28.12.2011 🔍
12.01.2012 🔍
17.07.2012 🔍
17.07.2012 🔍
17.07.2012 🔍
18.07.2012 🔍
30.07.2012 🔍
26.03.2021 🔍
Quellen
Hersteller: oracle.comAdvisory: Patch Day July 2012
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2011-4358 (🔍)
GCVE (CVE): GCVE-0-2011-4358
GCVE (VulDB): GCVE-100-5757
OVAL: 🔍
X-Force: 71507
SecurityFocus: 50846 - Oracle Mojarra EL Expression Evaluation Security Bypass Vulnerability
SecurityTracker: 1027277 - Sun GlassFish Enterprise Server Bug Lets Remote Users Partially Access and Modify Data
Vulnerability Center: 34142 - [cpujul2012-392727] Oracle Mojarra 2.1.3 Remote Security Bypass Vulnerability Caused by EL Expression Evaluation, Medium
Heise: 1644310
Siehe auch: 🔍
Eintrag
Erstellt: 30.07.2012 16:00Aktualisierung: 26.03.2021 14:28
Anpassungen: 30.07.2012 16:00 (69), 19.04.2017 10:29 (12), 26.03.2021 14:28 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.