PowerArchiver 14.00/14.01/14.02/14.02.03 Encryption schwache Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
In PowerArchiver 14.00/14.01/14.02/14.02.03 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um eine nicht näher spezifizierte Funktion der Komponente Verschlüsselung. Durch die Manipulation mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2014-2319. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
In PowerArchiver 14.00/14.01/14.02/14.02.03 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Dabei geht es um ein unbekannter Prozess der Komponente Encryption. Dank Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-310. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
The Encrypt Files feature in ConeXware PowerArchiver before 14.02.05 uses legacy ZIP encryption even if the AES 256-bit selection is chosen, which makes it easier for context-dependent attackers to obtain sensitive information via a known-plaintext attack.Die Schwachstelle wurde am 14.03.2014 (Website) an die Öffentlichkeit getragen. Das Advisory kann von powerarchiver.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 10.03.2014 mit CVE-2014-2319 vorgenommen. Sie ist leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1600.
Für den Vulnerability Scanner Nessus wurde am 07.04.2014 ein Plugin mit der ID 73380 (PowerArchiver 14.02.03 Incorrect PKZIP Encryption Usage) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 121849 (PowerArchiver Insecure PKZIP Encryption Vulnerability) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 14.02.03 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (91941), Tenable (73380), SecurityFocus (BID 66174†) und Vulnerability Center (SBV-43770†) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73380
Nessus Name: PowerArchiver 14.02.03 Incorrect PKZIP Encryption Usage
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: PowerArchiver 14.02.03
Timeline
10.03.2014 🔍12.03.2014 🔍
13.03.2014 🔍
14.03.2014 🔍
14.03.2014 🔍
27.03.2014 🔍
07.04.2014 🔍
24.03.2015 🔍
08.05.2026 🔍
Quellen
Advisory: powerarchiver.comStatus: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-2319 (🔍)
GCVE (CVE): GCVE-0-2014-2319
GCVE (VulDB): GCVE-100-66628
X-Force: 91941
SecurityFocus: 66174 - ConeXware PowerArchiver CVE-2014-2319 Weak Encryption Security Weakness
Vulnerability Center: 43770 - PowerArchiver <14.02.05 Remote Information Disclosure via Plantext Attack, Medium
Eintrag
Erstellt: 24.03.2015 15:54Aktualisierung: 08.05.2026 04:26
Anpassungen: 24.03.2015 15:54 (60), 24.05.2017 10:38 (4), 03.02.2022 14:38 (3), 19.12.2024 00:46 (18), 08.05.2026 04:26 (1)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.