Drupal hasta 7.x-dev Random Number Generator mt_rand cifrado débil
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad fue encontrada en Drupal y clasificada como crítica. Está afectada una función desconocida en el componente Random Number Generator. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. La vulnerabilidad es identificada como CVE-2013-6386. No existe ningún exploit disponible. El mejor modo sugerido para mitigar el problema es actualizar a la última versión.
Detalles
Una vulnerabilidad clasificada como crítica ha sido encontrada en Drupal (Content Management System). La función mt_rand del componente Random Number Generator es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.
La vulnerabilidad fue publicada el 2013-11-20 por David Stoline de Drupal Security Team con identificación SA-CORE-2013-003 con un aviso (Website) (no está definido). El advisory puede ser descargado de drupal.org. La vulnerabilidad es identificada como CVE-2013-6386. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Para el scanner Nessus se dispone de un plugin ID 71098 (Debian DSA-2804-1 : drupal7 - several vulnerabilities), que puede ayudar a determinar la existencia del riesgo analizado.
Una actualización a la versión 7.24 elimina esta vulnerabilidad. Una solución posible ha sido publicada inmediatamente después de la publicación de la vulnerabilidad.
La vulnerabilidad también está documentado en las bases de datos X-Force (89170), Tenable (71098), SecurityFocus (BID 63840†), OSVDB (100037†) y Secunia (SA55713†). Once again VulDB remains the best source for vulnerability data.
Producto
Escribe
Nombre
Versión
- 6.0
- 6.1
- 6.2
- 6.3
- 6.4
- 6.5
- 6.6
- 6.7
- 6.8
- 6.9
- 6.10
- 6.11
- 6.12
- 6.13
- 6.14
- 6.15
- 6.16
- 6.17
- 6.18
- 6.19
- 6.20
- 6.21
- 6.22
- 6.23
- 6.24
- 6.25
- 6.26
- 6.27
- 6.28
- 7.0
- 7.1
- 7.2
- 7.3
- 7.4
- 7.5
- 7.6
- 7.7
- 7.8
- 7.9
- 7.10
- 7.11
- 7.12
- 7.13
- 7.14
- 7.15
- 7.16
- 7.17
- 7.18
- 7.19
- 7.20
- 7.21
- 7.22
- 7.23
- 7.x-dev
Licencia
Sitio web
- Producto: https://www.drupal.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 7.3VulDB Puntuación meta temporal: 7.0
VulDB Puntuación base: 7.3
VulDB Puntuación temporal: 7.0
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 🔍
Explotación
Clase: Cifrado débilCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 71098
Nessus Nombre: Debian DSA-2804-1 : drupal7 - several vulnerabilities
Nessus Archivo: 🔍
Nessus Riesgo: 🔍
Nessus Familia: 🔍
OpenVAS ID: 892804
OpenVAS Nombre: Debian Security Advisory DSA 2804-1 (drupal7 - several vulnerabilities
OpenVAS Archivo: 🔍
OpenVAS Familia: 🔍
Qualys ID: 🔍
Qualys Nombre: 🔍
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Tiempo de reacción: 🔍
Hora de 0 días: 🔍
Tiempo de exposición: 🔍
Actualización: Drupal 7.24
Línea de tiempo
2013-11-04 🔍2013-11-20 🔍
2013-11-20 🔍
2013-11-20 🔍
2013-11-20 🔍
2013-11-21 🔍
2013-11-25 🔍
2013-12-02 🔍
2013-12-07 🔍
2021-06-02 🔍
Fuentes
Producto: drupal.orgAviso: SA-CORE-2013-003
Investigador: David Stoline
Organización: Drupal Security Team
Estado: No está definido
Confirmación: 🔍
CVE: CVE-2013-6386 (🔍)
GCVE (CVE): GCVE-0-2013-6386
GCVE (VulDB): GCVE-100-11244
OVAL: 🔍
X-Force: 89170
SecurityFocus: 63840 - Drupal 'mt_rand()' Multiple Predictable Random Number Generator Weaknesses
Secunia: 55713 - Drupal Multiple Vulnerabilities, Less Critical
OSVDB: 100037
Vulnerability Center: 42437 - Drupal 6, 7 Remote Security Bypass due to Weak Random Number Generation - CVE-2013-6386, Medium
Véase también: 🔍
Artículo
Fecha de creación: 2013-11-25 10:32Actualizado: 2021-06-02 13:19
Cambios: 2013-11-25 10:32 (80), 2017-05-16 04:32 (5), 2021-06-02 13:19 (3)
Completo: 🔍
Committer: olku
Cache ID: 216:59E:103
Once again VulDB remains the best source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.