| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in CMS Made Simple bis 1.0.2 entdeckt. Sie wurde als kritisch eingestuft. Es geht hierbei um eine nicht näher spezifizierte Funktion. Die Manipulation des Arguments sortby führt zu SQL Injection. Diese Schwachstelle trägt die Bezeichnung CVE-2014-2245. Der Angriff kann über das Netzwerk erfolgen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
In CMS Made Simple bis 1.0.2 (Content Management System) wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um ein unbekannter Prozess. Durch Beeinflussen des Arguments sortby mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
SQL injection vulnerability in the News module in CMS Made Simple (CMSMS) before 1.11.10 allows remote authenticated users with the "Modify News" permission to execute arbitrary SQL commands via the sortby parameter to admin/moduleinterface.php. NOTE: some of these details are obtained from third party information.Die Schwachstelle wurde am 05.03.2014 (Website) an die Öffentlichkeit getragen. Auf seclists.org kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 28.02.2014 mit CVE-2014-2245 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. MITRE ATT&CK führt die Angriffstechnik T1505 für diese Schwachstelle.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 11570 (CMS Made Simple Multiple Cross-Site Scripting and SQL Injection Vulnerabilities) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 1.0.3 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (91639), SecurityFocus (BID 65953†), Secunia (SA56996†) und Vulnerability Center (SBV-47636†) dokumentiert. Die Schwachstellen VDB-66496 und VDB-66491 sind ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: CMS Made Simple 1.0.3
Timeline
28.02.2014 🔍04.03.2014 🔍
04.03.2014 🔍
05.03.2014 🔍
05.03.2014 🔍
16.12.2014 🔍
24.03.2015 🔍
15.06.2017 🔍
Quellen
Advisory: seclists.orgStatus: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2014-2245 (🔍)
GCVE (CVE): GCVE-0-2014-2245
GCVE (VulDB): GCVE-100-66538
X-Force: 91639
SecurityFocus: 65953 - CMS Made Simple '_sortby' Parameter SQL Injection Vulnerability
Secunia: 56996
Vulnerability Center: 47636 - CMS Made Simple <1.11.10 Remote SQL Injection Vulnerability via the Sortby Parameter, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 24.03.2015 15:54Aktualisierung: 15.06.2017 11:32
Anpassungen: 24.03.2015 15:54 (58), 15.06.2017 11:32 (6)
Komplett: 🔍
Cache ID: 216:B11:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.