CIMTechniques CIMScan 6.0/6.1/6.2 SOAP WSDL Parser GetSqlData SQL injection SQL
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Résumé
Il a été détecté une vulnérabilité classée critique dans CIMTechniques CIMScan 6.0/6.1/6.2. Affecté par cette vulnérabilité est la fonction GetSqlData du composant SOAP WSDL Parser. L’utilisation dans SQL aboutit à injection SQL.
Cette faille est connue sous le nom CVE-2018-16803. L'attaque peut être menée à distance. Il n'existe pas d'exploit disponible.
Détails
Une vulnérabilité classée critique a été trouvée dans CIMTechniques CIMScan 6.0/6.1/6.2. Ceci affecte la fonction GetSqlData du composant SOAP WSDL Parser. A cause de la manipulation dans le cadre de SQL mène à une vulnérabilité de classe injection sql.
Le bug a été découvert sur 10/01/2019. La vulnerabilité a été publié en 10/01/2019 par Joël Aviad Ossi (websecnl) avec WebSec B.V. avec bulletin (hackerone) via DoD Cyber Crime Center (DC3) (confirmé). La notice d'information est disponible en téléchargement sur hackerone.com Cette vulnérabilité est identifiée comme CVE-2018-16803. Elle est facilement utilisable. L'attaque peut être initialisée à distance. Aucune forme d'authentification est requise pour l'exploitation. Les détails technniques sont connus, mais aucun exploite n'est disponible.
Il est déclaré comme hautement fonctionnel.
Il n'y a aucune information à propos de possibles contremesures connues. Il est suggéré de remplacer l'object infecté par un produit alternatif.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produit
Fournisseur
Nom
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 8.4VulDB Score méta-temporaire: 8.4
VulDB Note de base: 7.3
VulDB Note temporaire: 7.3
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
Chercheur Note de base: 8.0
Chercheur Vecteur: 🔍
NVD Note de base: 9.8
NVD Vecteur: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
Chercheur Note de base: 🔍
NVD Note de base: 🔍
Exploitation
Classe: Injection SQLCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Statut: Hautement fonctionnel
EPSS Score: 🔍
EPSS Percentile: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: aucune mesure d'atténuation connueStatut: 🔍
Heure 0 jour: 🔍
Chronologie
10/09/2018 🔍10/01/2019 🔍
10/01/2019 🔍
10/01/2019 🔍
11/01/2019 🔍
07/09/2020 🔍
Sources
Bulletin: hackerone.comChercheur: Joël Aviad Ossi (websecnl)
Organisation: WebSec B.V.
Statut: Confirmé
Confirmation: 🔍
CVE: CVE-2018-16803 (🔍)
GCVE (CVE): GCVE-0-2018-16803
GCVE (VulDB): GCVE-100-129003
Entrée
Créé: 11/01/2019 08:07Mise à jour: 07/09/2020 09:53
Changements: 11/01/2019 08:07 (61), 17/01/2019 10:10 (2), 17/01/2019 10:11 (2), 17/01/2019 10:12 (4), 17/01/2019 10:13 (3), 17/01/2019 10:14 (1), 22/01/2019 08:18 (3), 04/05/2020 10:53 (1), 07/09/2020 09:53 (4)
Complet: 🔍
Committer: websecnl
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.