Pythonpaste Paste 1.7.5 Access Restriction erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Pythonpaste Paste 1.7.5 gefunden. Betroffen ist eine unbekannte Funktion der Komponente Access Restriction. Durch das Beeinflussen mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2012-0878 bekannt. Es steht kein Exploit zur Verfügung.
Details
Eine Schwachstelle wurde in Pythonpaste Paste 1.7.5 (Programming Language Software) gefunden. Sie wurde als kritisch eingestuft. Es geht hierbei um ein unbekannter Codeblock der Komponente Access Restriction. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-264. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Paste Script 1.7.5 and earlier does not properly set group memberships during execution with root privileges, which might allow remote attackers to bypass intended file-access restrictions by leveraging a web application that uses the local filesystem.Die Schwachstelle wurde am 01.05.2012 (Website) veröffentlicht. Das Advisory kann von bitbucket.org heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 19.01.2012 als CVE-2012-0878 statt. Sie ist schwierig ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.
Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 68604 (Oracle Linux 6 : python-paste-script (ELSA-2012-1206)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 120576 (CentOS Security Update for python-paste-script (CESA-2012:1206)) zur Prüfung der Schwachstelle an.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (73425), Tenable (68604), SecurityFocus (BID 52147†), Secunia (SA48812†) und Vulnerability Center (SBV-35012†) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.6
VulDB Base Score: 5.6
VulDB Temp Score: 5.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 68604
Nessus Name: Oracle Linux 6 : python-paste-script (ELSA-2012-1206)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 881475
OpenVAS Name: CentOS Update for python-paste-script CESA-2012:1206 centos6
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
19.01.2012 🔍23.02.2012 🔍
01.05.2012 🔍
01.05.2012 🔍
01.05.2012 🔍
08.05.2012 🔍
12.07.2013 🔍
23.03.2015 🔍
02.01.2025 🔍
Quellen
Advisory: RHSA-2012:1206Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2012-0878 (🔍)
GCVE (CVE): GCVE-0-2012-0878
GCVE (VulDB): GCVE-100-60656
OVAL: 🔍
X-Force: 73425
SecurityFocus: 52147 - python-paste-script Root GID Files Arbitrary File Access Vulnerability
Secunia: 48812
Vulnerability Center: 35012 - Paste Script 1.7.5 and Earlier Remote Privileges Escalation Vulnerability, Critical
Eintrag
Erstellt: 23.03.2015 16:50Aktualisierung: 02.01.2025 18:40
Anpassungen: 23.03.2015 16:50 (59), 11.04.2017 11:16 (12), 01.12.2021 14:44 (3), 01.12.2021 14:47 (1), 02.01.2025 18:40 (16)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.