Tigase Tigase XMPP Server vor 5.1.0 XMPP Server Dialback erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.7$0-$5k0.00

Zusammenfassunginfo

Es wurde eine kritische Schwachstelle in Tigase Tigase XMPP Server ausgemacht. Es geht um eine nicht näher bekannte Funktion der Komponente XMPP Server Dialback. Durch Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2012-4670 vorgenommen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine Schwachstelle in Tigase Tigase XMPP Server (Messaging Software) entdeckt. Sie wurde als kritisch eingestuft. Dabei betrifft es ein unbekannter Codeteil der Komponente XMPP Server Dialback. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Die Auswirkungen sind bekannt für Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Tigase XMPP Server before 5.1.0 does not verify that a request was made for an XMPP Server Dialback response, which allows remote XMPP servers to spoof domains via a (1) Verify Response or (2) Authorization Response.

Die Schwachstelle wurde am 25.08.2012 durch Philipp Hancke (Website) publiziert. Das Advisory findet sich auf projects.tigase.org. Die Identifikation der Schwachstelle wird seit dem 25.08.2012 mit CVE-2012-4670 vorgenommen. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 5.1.0 vermag dieses Problem zu lösen.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (77985), SecurityFocus (BID 55232†) und Secunia (SA50362†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Produktinfo

Typ

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 5.7

VulDB Base Score: 6.5
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Unbewiesen

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Tigase XMPP Server 5.1.0

Timelineinfo

25.08.2012 🔍
25.08.2012 +0 Tage 🔍
25.08.2012 +0 Tage 🔍
27.08.2012 +2 Tage 🔍
23.03.2015 +938 Tage 🔍
30.01.2018 +1044 Tage 🔍

Quelleninfo

Advisory: projects.tigase.org
Person: Philipp Hancke
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2012-4670 (🔍)
GCVE (CVE): GCVE-0-2012-4670
GCVE (VulDB): GCVE-100-61803
X-Force: 77985 - Tigase XMPP spoofing
SecurityFocus: 55232 - Tigase XMPP Server Dialback Protection Bypass Component Security Bypass Vulnerability
Secunia: 50362

Eintraginfo

Erstellt: 23.03.2015 16:50
Aktualisierung: 30.01.2018 10:23
Anpassungen: 23.03.2015 16:50 (55), 30.01.2018 10:23 (3)
Komplett: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!