VDB-75900 · CVE-2015-4350 · BID 72798

Spider Catalog Module auf Drupal Cross Site Request Forgery

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.3$0-$5k0.00

Zusammenfassunginfo

In Spider Catalog Module für Drupal wurde eine problematische Schwachstelle entdeckt. Dabei geht es um eine nicht genauer bekannte Funktion. Durch das Manipulieren mit unbekannten Daten kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2015-4350 geführt. Der Angriff lässt sich über das Netzwerk starten. Es ist kein Exploit verfügbar.

Detailsinfo

Es wurde eine Schwachstelle in Spider Catalog Module - die betroffene Version ist unbekannt - auf Drupal gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-352 vorgenommen. Mit Auswirkungen muss man rechnen für die Integrität. CVE fasst zusammen:

Multiple cross-site request forgery (CSRF) vulnerabilities in the Spider Catalog module for Drupal allow remote attackers to hijack the authentication of administrators for requests that delete (1) products, (2) ratings, or (3) categories via unspecified vectors.

Die Schwachstelle wurde am 15.06.2015 durch Security Team von Drupal Security Team (Website) publik gemacht. Das Advisory kann von drupal.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 05.06.2015 unter CVE-2015-4350 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 72798†) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Produktinfo

Name

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.3

VulDB Base Score: 4.3
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Request Forgery
CWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfo

25.02.2015 🔍
05.06.2015 +100 Tage 🔍
15.06.2015 +10 Tage 🔍
15.06.2015 +0 Tage 🔍
16.06.2015 +1 Tage 🔍
06.04.2019 +1390 Tage 🔍

Quelleninfo

Advisory: drupal.org
Person: Security Team
Firma: Drupal Security Team
Status: Nicht definiert

CVE: CVE-2015-4350 (🔍)
GCVE (CVE): GCVE-0-2015-4350
GCVE (VulDB): GCVE-100-75900
SecurityFocus: 72798 - Drupal Spider Catalog Module Cross Site Request Forgery Vulnerability

Eintraginfo

Erstellt: 16.06.2015 10:16
Aktualisierung: 06.04.2019 17:30
Anpassungen: 16.06.2015 10:16 (49), 06.04.2019 17:30 (1)
Komplett: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!