Zabbix à 1.8.20/2.0.12/2.2.4/2.3.1 XML Data XML Request XML External Entity
| CVSS Meta Temp Score | Exploit Prix Actuel (≈) | CTI Interest Score |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Une vulnérabilité classée critique a été trouvée dans Zabbix à 1.8.20/2.0.12/2.2.4/2.3.1 (Network Management Software). Affecté par ce problème est une fonction inconnue du composant XML Data Handler. La manipulation dans le cadre de XML Request mène à une vulnérabilité de classe xml external entity.
Le bug a été découvert sur 17/06/2014. La vulnerabilité a été publié en 01/02/2018 par pnig0s (pnig0s) avec mailinglist post (Full-Disclosure) (non défini). La notice d'information est disponible en téléchargement sur seclists.org Cette vulnérabilité est identifiée comme CVE-2014-3005. L'exploitation est considérée comme facile. Il est possible d'initialiser l'attaque à distance. L'exploitation ne nécéssite aucune forme d'authentification. Ni les détails techniques ni un exploit sont publiquement disponibles.
Cette vulnérabilité a été classée comme 0-day non publique pendant au moins 4 jours. Le scanner de vulnérabilités Nessus propose un module ID 76325 (Fedora 20 : zabbix-2.0.12-3.fc20 (2014-7594)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.
Mettre à jour à la version 1.8.21rc1, 2.0.13rc1, 2.2.5rc1 ou 2.3.2 élimine cette vulnérabilité. Une solution envisageable a été publiée avant et non après après la publication de la vulnérabilité.
La vulnérabilité est aussi documentée dans les base de données SecurityFocus (BID 68075) et Tenable (76325).
Produit
Type
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.2
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Fiabilité: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vector | Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Fiabilité: 🔍
NVD Base Score: 🔍
Exploiting
Classe: XML External EntityCWE: CWE-611
ATT&CK: Inconnue
Localement: Non
Remote: Oui
Disponibilité: 🔍
Status: Non défini
Price Prediction: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | unlock | unlock | unlock | unlock |
|---|---|---|---|---|
| Aujourd'hui | unlock | unlock | unlock | unlock |
Nessus ID: 76325
Nessus Name: Fedora 20 : zabbix-2.0.12-3.fc20 (2014-7594)
Nessus File: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 867773
OpenVAS Name: Fedora Update for zabbix FEDORA-2014-7603
OpenVAS File: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Threat: 🔍Adversaries: 🔍
Geopolitics: 🔍
Economy: 🔍
Predictions: 🔍
Contre-mesures: 🔍
Contre-mesures
Recommandé: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Zabbix 1.8.21rc1/2.0.13rc1/2.2.5rc1/2.3.2
Chronologie
25/04/2014 🔍17/06/2014 🔍
17/06/2014 🔍
21/06/2014 🔍
01/07/2014 🔍
01/02/2018 🔍
01/02/2018 🔍
02/02/2018 🔍
02/02/2021 🔍
Sources
Bulletin: seclists.orgChercheur: pnig0s (pnig0s)
Status: Non défini
Confirmation: 🔍
CVE: CVE-2014-3005 (🔍)
SecurityFocus: 68075 - Zabbix CVE-2014-3005 XML External Entity Injection Vulnerability
Entrée
Établi: 02/02/2018 07:54 AMMise à jour: 02/02/2021 01:25 PM
Changes: (3) advisory_person_name exploit_price_0day vulnerability_cvss2_nvd_basescore
Compléter: 🔍
Comments
Are you interested in using VulDB?
Download the whitepaper to learn more about our service!
No comments yet. Please log in to comment.