Zabbix à 1.8.20/2.0.12/2.2.4/2.3.1 XML Data XML Request XML External Entity

entréeeditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Prix Actuel (≈)
CTI Interest Score
8.2$0-$5k0.00

Une vulnérabilité classée critique a été trouvée dans Zabbix à 1.8.20/2.0.12/2.2.4/2.3.1 (Network Management Software). Affecté par ce problème est une fonction inconnue du composant XML Data Handler. La manipulation dans le cadre de XML Request mène à une vulnérabilité de classe xml external entity.

Le bug a été découvert sur 17/06/2014. La vulnerabilité a été publié en 01/02/2018 par pnig0s (pnig0s) avec mailinglist post (Full-Disclosure) (non défini). La notice d'information est disponible en téléchargement sur seclists.org Cette vulnérabilité est identifiée comme CVE-2014-3005. L'exploitation est considérée comme facile. Il est possible d'initialiser l'attaque à distance. L'exploitation ne nécéssite aucune forme d'authentification. Ni les détails techniques ni un exploit sont publiquement disponibles.

Cette vulnérabilité a été classée comme 0-day non publique pendant au moins 4 jours. Le scanner de vulnérabilités Nessus propose un module ID 76325 (Fedora 20 : zabbix-2.0.12-3.fc20 (2014-7594)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.

Mettre à jour à la version 1.8.21rc1, 2.0.13rc1, 2.2.5rc1 ou 2.3.2 élimine cette vulnérabilité. Une solution envisageable a été publiée avant et non après après la publication de la vulnérabilité.

La vulnérabilité est aussi documentée dans les base de données SecurityFocus (BID 68075) et Tenable (76325).

Produitinfoedit

Type

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 8.5
VulDB Meta Temp Score: 8.2

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Fiabilité: 🔍

NVD Base Score: 9.8
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Fiabilité: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Classe: XML External Entity
CWE: CWE-611
ATT&CK: Inconnue

Localement: Non
Remote: Oui

Disponibilité: 🔍
Status: Non défini

Price Prediction: 🔍
Estimation actuelle des prix: 🔍

0-Dayunlockunlockunlockunlock
Aujourd'huiunlockunlockunlockunlock

Nessus ID: 76325
Nessus Name: Fedora 20 : zabbix-2.0.12-3.fc20 (2014-7594)
Nessus File: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS Name: Fedora Update for zabbix FEDORA-2014-7603
OpenVAS File: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfoedit

Threat: 🔍
Adversaries: 🔍
Geopolitics: 🔍
Economy: 🔍
Predictions: 🔍
Contre-mesures: 🔍

Contre-mesuresinfoedit

Recommandé: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Zabbix 1.8.21rc1/2.0.13rc1/2.2.5rc1/2.3.2

Chronologieinfoedit

25/04/2014 🔍
17/06/2014 +53 jours 🔍
17/06/2014 +0 jours 🔍
21/06/2014 +4 jours 🔍
01/07/2014 +10 jours 🔍
01/02/2018 +1311 jours 🔍
01/02/2018 +0 jours 🔍
02/02/2018 +1 jours 🔍
02/02/2021 +1096 jours 🔍

Sourcesinfoedit

Bulletin: seclists.org
Chercheur: pnig0s (pnig0s)
Status: Non défini
Confirmation: 🔍

CVE: CVE-2014-3005 (🔍)
SecurityFocus: 68075 - Zabbix CVE-2014-3005 XML External Entity Injection Vulnerability

Entréeinfoedit

Établi: 02/02/2018 07:54 AM
Mise à jour: 02/02/2021 01:25 PM
Changes: (3) advisory_person_name exploit_price_0day vulnerability_cvss2_nvd_basescore
Compléter: 🔍

Comments

No comments yet. Please log in to comment.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!