VDB-100731 · CVE-2017-8114 · BID 98445

RoundCube Webmail hasta 1.0.10/1.1.8/1.2.4 Password Plugin escalada de privilegios

ArtículoeditarHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreExploit Precio Actual (≈)CTI Interest Score
6.6$0-$5k0.00

Una vulnerabilidad fue encontrada en RoundCube Webmail hasta 1.0.10/1.1.8/1.2.4 (Mail Client Software) y clasificada como crítica. Una función desconocida del componente Password Plugin es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

El error fue descubierto el 2017-04-24. La vulnerabilidad fue publicada el 2017-04-29 (GitHub Repository) (no está definido). El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2017-8114. El ataque se puede efectuar a través de la red. Para explotarla se requiere una autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Por lo menos durante 5 días, esta vulnerabilidad fue clasificada como exploit día cero. Para el scanner Nessus se dispone de un plugin ID 99999 (Debian DLA-933-1 : roundcube security update), que puede ayudar a determinar la existencia del riesgo analizado.

Una actualización a la versión 1.0.11, 1.1.9 o 1.2.5 elimina esta vulnerabilidad. Una solución posible ha sido publicada 2 semana después de la publicación de la vulnerabilidad.

La vulnerabilidad también está documentado en la base de datos Tenable (99999).

Productoinfoeditar

Escribe

Proveedor

Name

CPE 2.3infoeditar

CPE 2.2infoeditar

CVSSv3infoeditar

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.2

VulDB Base Score: 6.3
VulDB Temp Score: 5.6
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2infoeditar

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplejidadAutenticaciónConfidentialityIntegrityDisponibilidad
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Confiabilidad: 🔍

NVD Base Score: 🔍

Explotacióninfoeditar

Name: Password
Clase: Escalada de privilegios / Password
CWE: CWE-264
ATT&CK: T1068

Local: No
Remoto: Sí

Disponibilidad: 🔍
Status: No está definido
Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-Dayunlockunlockunlockunlock
Hoyunlockunlockunlockunlock

Nessus ID: 99999
Nessus Name: Debian DLA-933-1 : roundcube security update
Nessus File: 🔍
Nessus Riesgo: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS Name: Fedora Update for roundcubemail FEDORA-2017-ede53aa845
OpenVAS File: 🔍
OpenVAS Family: 🔍

Inteligencia de Amenazasinfoeditar

Interesar: 🔍
Active Actors: 🔍
Active APT Groups: 🔍

Contramedidasinfoeditar

Recomendación: Upgrade
Status: 🔍

Reaction Time: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Webmail 1.0.11/1.1.9/1.2.5

Línea de tiempoinfoeditar

2017-04-24 🔍
2017-04-25 +1 días 🔍
2017-04-29 +4 días 🔍
2017-04-29 +0 días 🔍
2017-04-29 +0 días 🔍
2017-04-30 +1 días 🔍
2017-05-07 +7 días 🔍
2017-05-08 +1 días 🔍
2019-11-24 +930 días 🔍

Fuentesinfoeditar

Advisory: github.com
Status: No está definido

CVE: CVE-2017-8114 (🔍)
SecurityFocus: 98445 - RoundCube Webmail CVE-2017-8114 Multiple Privilege Escalation Vulnerabilities

Artículoinfoeditar

Fecha de creación: 2017-04-30 10:27
Actualizaciones: 2019-11-24 17:48
Cambios: (4) vulnerability_discoverydate countermeasure_date source_securityfocus_date source_securityfocus_class
Completo: 🔍

Comentarios

Sin comentarios aún. Idiomas: . Por favor inicie sesión para comentar.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!