ownCloud Server bis 8.1.10/8.2.8/9.0.6/9.1.2 E-Mail Share Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in ownCloud Server bis 8.1.10/8.2.8/9.0.6/9.1.2 entdeckt. Sie wurde als problematisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente E-Mail Share Handler. Die Bearbeitung verursacht Information Disclosure. Diese Sicherheitslücke ist unter CVE-2017-5866 bekannt. Der Angriff lässt sich über das Netzwerk starten. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine Schwachstelle in ownCloud Server bis 8.1.10/8.2.8/9.0.6/9.1.2 (Cloud Software) gefunden. Sie wurde als problematisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock der Komponente E-Mail Share Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:
The autocomplete feature in the E-Mail share dialog in ownCloud Server before 8.1.11, 8.2.x before 8.2.9, 9.0.x before 9.0.7, and 9.1.x before 9.1.3 allows remote authenticated users to obtain sensitive information via unspecified vectors.Entdeckt wurde das Problem am 02.02.2017. Die Schwachstelle wurde am 03.03.2017 durch Shadow (Website) publik gemacht. Das Advisory kann von securityfocus.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 02.02.2017 unter CVE-2017-5866 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.
Insgesamt wurde die Schwachstelle mindestens 29 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Upgrade auf die Version 8.1.11, 8.2.9, 9.0.7 oder 9.1.3 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 96426†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-97537 und VDB-97535. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Name
Version
- 8.1.0
- 8.1.1
- 8.1.2
- 8.1.3
- 8.1.4
- 8.1.5
- 8.1.6
- 8.1.7
- 8.1.8
- 8.1.9
- 8.1.10
- 8.2.0
- 8.2.1
- 8.2.2
- 8.2.3
- 8.2.4
- 8.2.5
- 8.2.6
- 8.2.7
- 8.2.8
- 9.0.0
- 9.0.1
- 9.0.2
- 9.0.3
- 9.0.4
- 9.0.5
- 9.0.6
- 9.1.0
- 9.1.1
- 9.1.2
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.2
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 4.3
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 801070
OpenVAS Name: ownCloud Multiple Vulnerabilities Feb17 (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: ownCloud Server 8.1.11/8.2.9/9.0.7/9.1.3
Timeline
02.02.2017 🔍02.02.2017 🔍
02.02.2017 🔍
03.03.2017 🔍
03.03.2017 🔍
04.03.2017 🔍
04.09.2020 🔍
Quellen
Advisory: securityfocus.com⛔Person: Shadow
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2017-5866 (🔍)
GCVE (CVE): GCVE-0-2017-5866
GCVE (VulDB): GCVE-100-97536
SecurityFocus: 96426 - ownCloud CVE-2017-5866 Information Disclosure Vulnerability
OSVDB: - CVE-2017-5866 - ownCloud Server - Information Disclosure Issue
Siehe auch: 🔍
Eintrag
Erstellt: 04.03.2017 14:02Aktualisierung: 04.09.2020 09:17
Anpassungen: 04.03.2017 14:02 (65), 04.09.2020 09:17 (6)
Komplett: 🔍
Cache ID: 216:C50:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.