Jenkins तक 1.585 पर Tomcat Session Cookie WebAppMain.java' Flag अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.2$0-$5k0.00

सारांशजानकारी

एक जोखिम जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Jenkins तक 1.585 पर Tomcat में पाया गया है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल main/java/hudson/WebAppMain.java' का घटक Session Cookie Handler का। हेरफेर के कारण अधिकार वृद्धि (Flag) होती है। इस भेद्यता को CVE-2014-9634 के रूप में ट्रेड किया जाता है। दूरस्थ स्थान से हमला शुरू करना संभव है। कोई शोषण उपलब्ध नहीं है. प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

विवरणजानकारी

एक जोखिम जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Jenkins तक 1.585 पर Tomcat में पाया गया है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल main/java/hudson/WebAppMain.java' का घटक Session Cookie Handler का। हेरफेर के कारण अधिकार वृद्धि (Flag) होती है। CWE का सहारा लेकर समस्या घोषित करने से CWE-254 मिलता है। बग 20/01/2015 को खोजा गया था. कमजोरी प्रकाशित की गई थी 12/09/2017 Kurt Seifried द्वारा (oss-sec). एडवाइजरी डाउनलोड के लिए openwall.com पर साझा की गई है।

इस भेद्यता को CVE-2014-9634 के रूप में ट्रेड किया जाता है। 22/01/2015 पर CVE आवंटित किया गया था. दूरस्थ स्थान से हमला शुरू करना संभव है। टेक्निकल जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता औसत से कम है। कोई शोषण उपलब्ध नहीं है. फिलहाल एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। यदि T1211 उपलब्ध है, तो MITRE ATT&CK प्रोजेक्ट द्वारा हमले की तकनीक को T1211 के रूप में घोषित किया जाता है।

यह परिभाषित नहीं घोषित है। 0-डे के रूप में इसका अनुमानित अंडरग्राउंड मूल्य लगभग $0-$5k था. वल्नरेबिलिटी स्कैनर Nessus 83956 आईडी वाला एक प्लगइन प्रदान करता है। यह CGI abuses फैमिली में असाइन किया गया है। यह प्लगइन r प्रकार के संदर्भ में सक्रिय है।

यदि आप 1.586 संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी दर्ज है: SecurityFocus (BID 72054) , Tenable (83956).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.4
VulDB मेटा अस्थायी स्कोर: 5.2

VulDB मूल स्कोर: 5.4
VulDB अस्थायी स्कोर: 5.2
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 5.3
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

नाम: Flag
वर्ग: अधिकार वृद्धि / Flag
CWE: CWE-254
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 83956
Nessus नाम: Jenkins < 1.565.3 / 1.586 Multiple Vulnerabilities
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

0-दिवसीय समय: 🔍

अपग्रेड: Jenkins 1.586
पैच: github.com

समयरेखाजानकारी

01/10/2014 🔍
13/01/2015 +104 दिन 🔍
20/01/2015 +7 दिन 🔍
22/01/2015 +2 दिन 🔍
03/06/2015 +132 दिन 🔍
12/09/2017 +832 दिन 🔍
12/09/2017 +0 दिन 🔍
13/09/2017 +1 दिन 🔍
28/12/2022 +1932 दिन 🔍

स्रोतजानकारी

सलाह: 582128b9ac179a788d43c1478be8a5224dc19710
शोधकर्ता: Kurt Seifried
स्थिति: परिभाषित नहीं
पुष्टि: 🔍

CVE: CVE-2014-9634 (🔍)
GCVE (CVE): GCVE-0-2014-9634
GCVE (VulDB): GCVE-100-106418
SecurityFocus: 72054 - Jenkins Session Cookie Multiple Security Bypass Vulnerabilities

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 13/09/2017 09:16 AM
अद्यतनित: 28/12/2022 12:37 PM
परिवर्तन: 13/09/2017 09:16 AM (66), 15/11/2019 08:35 AM (11), 28/12/2022 12:37 PM (4)
पूर्ण: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!