ZyXEL GS1510-16 Authentication webctrl.cgi divulgation d'information
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 9.6 | $0-$5k | 0.00 |
Résumé
Il a été détecté une vulnérabilité classée critique dans ZyXEL GS1510-16. Affecté est une fonction inconnue du fichier webctrl.cgi du composant Authentication Handler. L’exploitation entraîne divulgation d'information. En outre, un exploit est accessible. Il est préconisé d'utiliser un pare-feu avec des règles restrictives.
Détails
Une vulnérabilité classée très critique a été trouvée dans ZyXEL GS1510-16. Ceci affecte une fonction inconnue du fichier webctrl.cgi du composant Authentication Handler. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe divulgation d'information.
La vulnerabilité a été publié en 29/11/2013 par Daniel Manser et Sven Vetsch avec le numéro d'identification added ZyXEL GS1510-16 Password Extractor avec git commit (GIT Repository) (confirmé). La notice d'information est disponible en téléchargement sur github.com Le fabricant n'était pas impliqué dans la publication. Elle est facile à utiliser. L'attaque peut être initialisée à distance. Aucune forme d'authentification est requise pour l'exploitation. Des details techniques et aussi un public exploit sont connus.
Un exploit a été developpé par Tod Beardsley (todb-r7) en Ruby et a été publié immédiatement après la notice d'information. L'exploit est disponible au téléchargment sur github.com. Il est déclaré comme hautement fonctionnel.
Il est possible d'attenuer le problème en filtrant dans le pare-feu.
La vulnérabilité est aussi documentée dans la base de données OSVDB (100510†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produit
Fournisseur
Nom
Licence
Site web
- Fournisseur: https://www.zyxel.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 9.8VulDB Score méta-temporaire: 9.6
VulDB Note de base: 9.8
VulDB Note temporaire: 9.6
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
Exploitation
Classe: Divulgation d'informationCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Accès: Public
Statut: Hautement fonctionnel
Auteur: Tod Beardsley (todb-r7)
Langage de programmation: 🔍
Télécharger: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: FirewallStatut: 🔍
Heure 0 jour: 🔍
Délai d'exploitation: 🔍
Chronologie
29/11/2013 🔍29/11/2013 🔍
05/12/2013 🔍
23/03/2019 🔍
Sources
Fournisseur: zyxel.comBulletin: added ZyXEL GS1510-16 Password Extractor
Chercheur: Daniel Manser, Sven Vetsch
Statut: Confirmé
GCVE (VulDB): GCVE-100-11367
OSVDB: 100510
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrée
Créé: 05/12/2013 09:50Mise à jour: 23/03/2019 20:02
Changements: 05/12/2013 09:50 (52), 23/03/2019 20:02 (1)
Complet: 🔍
Committer: olku
Cache ID: 216:A82:103
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.