Symantec Management Console तक ITMS 8.1 XML Data अनुरोध XML External Entity
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 7.8 | $0-$5k | 0.00 |
सारांश
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Symantec Management Console तक ITMS 8.1 में पाई गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य और XML Data Handler घटक से संबंधित है। इसमें अनुरोध के हिस्से के रूप में शामिल है, जिससे XML External Entity उत्पन्न होती है। इस संवेदनशीलता को CVE-2017-6323 के रूप में जाना जाता है। यह हमला दूर से किया जा सकता है। कोई एक्सप्लॉइट उपलब्ध नहीं है. इस मुद्दे को ठीक करने के लिए पैच लगाना अनुशंसित है।
विवरण
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Symantec Management Console तक ITMS 8.1 में पाई गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य और XML Data Handler घटक से संबंधित है। इसमें अनुरोध के हिस्से के रूप में शामिल है, जिससे XML External Entity उत्पन्न होती है। CWE के माध्यम से समस्या घोषित करने पर CWE-611 मिलता है। इस बग की खोज 28/06/2017 को हुई थी. इस कमजोरी को प्रकाशित किया गया था 16/04/2018 (वेबसाइट). एडवाइजरी को symantec.com पर डाउनलोड के लिए उपलब्ध कराया गया है।
इस संवेदनशीलता को CVE-2017-6323 के रूप में जाना जाता है। CVE असाइनमेंट 26/02/2017 पर हुआ था. यह हमला दूर से किया जा सकता है। कोई तकनीकी विवरण उपलब्ध नहीं है. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट उपलब्ध नहीं है. वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।
यह परिभाषित नहीं के रूप में घोषित है। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $5k-$25k थी. Nessus वल्नरेबिलिटी स्कैनर 102203 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Windows परिवार को सौंपा गया है। यह प्लगइन l टाइप के कॉन्टेक्स्ट में चल रहा है।
इस पैच का नाम ITMS 8.1 RU1 है। इस मुद्दे को ठीक करने के लिए पैच लगाना अनुशंसित है।
यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 98621) , Tenable (102203).
उत्पाद
विक्रेता
नाम
संस्करण
लाइसेंस
वेबसाइट
- विक्रेता: https://www.symantec.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 8.2VulDB मेटा अस्थायी स्कोर: 7.9
VulDB मूल स्कोर: 8.3
VulDB अस्थायी स्कोर: 7.9
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 8.0
NVD वेक्टर: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: XML External EntityCWE: CWE-611 / CWE-610
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 102203
Nessus नाम: Symantec Management Console Multiple XSS and XXE Vulnerabilities (SYM17-005)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: पैचस्थिति: 🔍
0-दिवसीय समय: 🔍
पैच: ITMS 8.1 RU1
समयरेखा
26/02/2017 🔍19/06/2017 🔍
28/06/2017 🔍
28/06/2017 🔍
04/08/2017 🔍
16/04/2018 🔍
16/04/2018 🔍
17/04/2018 🔍
10/02/2021 🔍
स्रोत
विक्रेता: symantec.comसलाह: symantec.com
शोधकर्ता: Korprit Zombie
स्थिति: परिभाषित नहीं
पुष्टि: 🔍
CVE: CVE-2017-6323 (🔍)
GCVE (CVE): GCVE-0-2017-6323
GCVE (VulDB): GCVE-100-116265
SecurityFocus: 98621 - Symantec Management Console CVE-2017-6323 Multiple XML External Entity Injection Vulnerabilities
प्रविष्टि
बनाया गया: 17/04/2018 09:48 AMअद्यतनित: 10/02/2021 08:18 AM
परिवर्तन: 17/04/2018 09:48 AM (69), 25/01/2020 01:48 PM (4), 10/02/2021 08:18 AM (3)
पूर्ण: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें