KDE Konqueror 4.7.3 khtml/css/cssparser.cpp desbordamiento de búfer
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 8.9 | $0-$5k | 0.00 |
Resumen
Se ha identificado una vulnerabilidad clasificada como crítica en KDE Konqueror 4.7.3. Se ve afectada una función desconocida del archivo khtml/css/cssparser.cpp. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase desbordamiento de búfer. Esta vulnerabilidad está identificada como CVE-2012-4512. Además, hay un exploit disponible. Se aconseja instalar un parche para corregir este problema.
Detalles
Una vulnerabilidad fue encontrada en KDE Konqueror 4.7.3 (Web Browser) y clasificada como extremadamente crítica. Una función desconocida del archivo khtml/css/cssparser.cpp es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase desbordamiento de búfer. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.
La vulnerabilidad fue publicada el 2012-10-10 por Tim Brown de Nth Dimension con identificación 22406 con un posting (Exploit-DB) (confirmado). El advisory puede ser descargado de exploit-db.com. La publicación se realizó en coordinación con el fabricante. La vulnerabilidad es identificada como CVE-2012-4512. Es difícil de explotar. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autentificación específica. Los detalles técnicos asi como un exploit público son conocidos.
Un exploit ha sido desarrollado por Tim Brown y publicado inmediatamente después del anuncio. El exploit puede ser descargado de exploit-db.com. Fue declarado como prueba de concepto. Para el scanner Nessus se dispone de un plugin ID 68650 (Oracle Linux 6 : kdelibs (ELSA-2012-1418)), que puede ayudar a determinar la existencia del riesgo analizado.
Aplicando el parche a872c8a969a8bd3706253d6ba24088e4f07f3352 es posible eliminar el problema. El parche puede ser descargado de projects.kde.org.
La vulnerabilidad también está documentado en las bases de datos Exploit-DB (22406), Tenable (68650), OSVDB (86847†), Secunia (SA51097†) y SecurityTracker (ID 1027709†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Producto
Escribe
Proveedor
Nombre
Versión
Licencia
Sitio web
- Proveedor: https://kde.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 9.4VulDB Puntuación meta temporal: 8.9
VulDB Puntuación base: 10.0
VulDB Puntuación temporal: 9.0
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 8.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 🔍
Explotación
Clase: Desbordamiento de búferCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Acceso: Público
Estado: Prueba de concepto
Autor: Tim Brown
Descargar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 68650
Nessus Nombre: Oracle Linux 6 : kdelibs (ELSA-2012-1418)
Nessus Archivo: 🔍
Nessus Riesgo: 🔍
Nessus Familia: 🔍
Nessus Port: 🔍
OpenVAS ID: 881530
OpenVAS Nombre: CentOS Update for kdelibs CESA-2012:1416 centos6
OpenVAS Archivo: 🔍
OpenVAS Familia: 🔍
Qualys ID: 🔍
Qualys Nombre: 🔍
Exploit-DB: 🔍
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Hora de 0 días: 🔍
Tiempo de retraso de explotación: 🔍
Parche: a872c8a969a8bd3706253d6ba24088e4f07f3352
Línea de tiempo
2012-08-21 🔍2012-10-10 🔍
2012-10-10 🔍
2012-10-31 🔍
2012-10-31 🔍
2012-10-31 🔍
2012-11-01 🔍
2012-11-01 🔍
2012-11-04 🔍
2012-11-05 🔍
2013-07-12 🔍
2024-09-23 🔍
Fuentes
Proveedor: kde.orgAviso: 22406
Investigador: Tim Brown
Organización: Nth Dimension
Estado: Confirmado
Coordinado: 🔍
CVE: CVE-2012-4512 (🔍)
GCVE (CVE): GCVE-0-2012-4512
GCVE (VulDB): GCVE-100-6851
OVAL: 🔍
Secunia: 51097 - KDE kdelibs Multiple Vulnerabilities, Highly Critical
OSVDB: 86847
SecurityTracker: 1027709 - kdelibs Heap Overflows Let Remote Users Execute Arbitrary Code
Vulnerability Center: 36933 - KDE Konqueror 4.7.3 Type Confusion Vulnerability Leading to Memory Disclosure - CVE-2012-4512, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
Véase también: 🔍
Artículo
Fecha de creación: 2012-11-05 09:45Actualizado: 2024-09-23 02:14
Cambios: 2012-11-05 09:45 (78), 2017-08-20 22:15 (7), 2021-04-18 17:26 (1), 2021-04-18 17:32 (18), 2021-04-18 17:37 (1), 2024-09-23 02:14 (15)
Completo: 🔍
Committer: olku
Cache ID: 216:9E1:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.