Public Knowledge Project Open Conference Systems bis 2.1.1-1 Cross Site Request Forgery
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Public Knowledge Project Open Conference Systems bis 2.1.1-1 entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren mit unbekannten Daten kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2011-5195 vorgenommen. Ein Angriff ist aus der Distanz möglich. Ferner existiert ein Exploit.
Details
Eine Schwachstelle wurde in Public Knowledge Project Open Conference Systems bis 2.1.1-1 (Knowledge Base Software) gefunden. Sie wurde als kritisch eingestuft. Dies betrifft ein unbekannter Teil. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-352. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Cross-site request forgery (CSRF) vulnerability in index/manager/fileUpload in Public Knowledge Project Open Conference Systems 2.3.4 and earlier allows remote attackers to hijack the authentication of admistrators for requests that upload a PHP file.Die Schwachstelle wurde am 23.09.2012 (Website) veröffentlicht. Auf exploit-db.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 23.09.2012 als CVE-2011-5195 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch mr_me umgesetzt und schon vor und nicht nach dem Advisory veröffentlicht. Unter exploit-db.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt. Dabei muss 275 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (18266), OSVDB (77995†) und Secunia (SA47330†) dokumentiert. Die Einträge VDB-62404 und VDB-62403 sind sehr ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site Request ForgeryCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: mr_me
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
23.12.2011 🔍23.12.2011 🔍
23.12.2011 🔍
23.09.2012 🔍
23.09.2012 🔍
23.09.2012 🔍
24.03.2015 🔍
29.12.2024 🔍
Quellen
Advisory: exploit-db.comStatus: Bestätigt
CVE: CVE-2011-5195 (🔍)
GCVE (CVE): GCVE-0-2011-5195
GCVE (VulDB): GCVE-100-62402
Secunia: 47330 - Public Knowledge Project Products Cross-Site Request Forgery Vulnerability, Less Critical
OSVDB: 77995
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 24.03.2015 12:22Aktualisierung: 29.12.2024 15:08
Anpassungen: 24.03.2015 12:22 (46), 05.02.2018 07:56 (14), 29.12.2024 15:08 (16)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.