Citrix GoToMeeting 5.0.799.1238 पर Android HTTP Request Logger com.citrixonline.android.gotomeeting-1.apk सूचना का प्रकटीकरण

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
3.0$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Citrix GoToMeeting 5.0.799.1238 पर Android में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल com.citrixonline.android.gotomeeting-1.apk का घटक HTTP Request Logger का। यह हेरफेर सूचना का प्रकटीकरण उत्पन्न करता है। इस भेद्यता को CVE-2014-1664 आईडी के तहत ट्रैक किया जाता है। इसके अलावा, एक शोषण उपलब्ध है.

विवरणजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Citrix GoToMeeting 5.0.799.1238 पर Android में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल com.citrixonline.android.gotomeeting-1.apk का घटक HTTP Request Logger का। यह हेरफेर सूचना का प्रकटीकरण उत्पन्न करता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-200 प्राप्त होता है। यह बग 20/01/2014 को खोजा गया था। कमजोरी प्रकाशित की गई थी 24/01/2014 द्वारा Claudio J. Lacay के रूप में GoToMeeting Information Disclosure via Logging Output (Android) के रूप में Mailinglist Post (Bugtraq). यह सलाह seclists.org पर डाउनलोड के लिए साझा की गई है। सार्वजनिक रिलीज़ विक्रेता के साथ समन्वय के बिना हुआ।

इस भेद्यता को CVE-2014-1664 आईडी के तहत ट्रैक किया जाता है। 23/01/2014 पर CVE आवंटित किया गया था. टेक्निकल जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता औसत से कम है। इसके अलावा, एक शोषण उपलब्ध है. एक्सप्लॉइट को सार्वजनिक रूप से प्रकट किया गया है और इसका उपयोग किया जा सकता है। अब के लिए एक्सप्लॉइट की कीमत अनुमानतः USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना हमले की तकनीक को T1592 के रूप में घोषित करती है. एडवाइजरी में उल्लेख किया गया है:

The latest release of the software is vulnerable to information disclosure via logging output, resulting in the leak of userID, meeting details, and authentication tokens. Android applications with permissions to read system log files may obtain the leaked information.

इसे अवधारणा प्रमाण के रूप में घोषित किया गया है। एक्सप्लॉइट डाउनलोड के लिए exploit-db.com पर साझा किया गया है। इस भेद्यता को कम से कम 4 दिनों तक गैर-सार्वजनिक ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-day के समय अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 65123) , X-Force (90695).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 3.3
VulDB मेटा अस्थायी स्कोर: 3.0

VulDB मूल स्कोर: 3.3
VulDB अस्थायी स्कोर: 3.0
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: सूचना का प्रकटीकरण
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
डाउनलोड: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Exploit-DB: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: कोई शमन ज्ञात नहीं
स्थिति: 🔍

0-दिवसीय समय: 🔍
शोषण विलंब समय: 🔍

समयरेखाजानकारी

20/01/2014 🔍
21/01/2014 +1 दिन 🔍
23/01/2014 +2 दिन 🔍
23/01/2014 +0 दिन 🔍
24/01/2014 +1 दिन 🔍
24/01/2014 +0 दिन 🔍
26/01/2014 +2 दिन 🔍
28/01/2014 +2 दिन 🔍
10/06/2024 +3786 दिन 🔍

स्रोतजानकारी

विक्रेता: citrix.com

सलाह: GoToMeeting Information Disclosure via Logging Output (Android)
शोधकर्ता: Claudio J. Lacay
स्थिति: परिभाषित नहीं

CVE: CVE-2014-1664 (🔍)
GCVE (CVE): GCVE-0-2014-1664
GCVE (VulDB): GCVE-100-12083
X-Force: 90695 - GoToMeeting for Android information disclosure
SecurityFocus: 65123
OSVDB: 102559

scip Labs: https://www.scip.ch/en/?labs.20130704

प्रविष्टिजानकारी

बनाया गया: 28/01/2014 02:20 PM
अद्यतनित: 10/06/2024 09:03 AM
परिवर्तन: 28/01/2014 02:20 PM (61), 17/05/2018 08:38 AM (6), 10/06/2024 09:03 AM (18)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Interested in the pricing of exploits?

See the underground prices here!