Apache CouchDB 1.5.0 UUIDS /_uuids गिनती अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.0$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Apache CouchDB 1.5.0 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल /_uuids का घटक UUIDS Handler का। यह तर्क गिनती की हेरफेर इनपुट 99999999999999999999999999999999999999999999999999999999999999999999999 के साथ है, जो अधिकार वृद्धि की ओर ले जाती है। इस भेद्यता को CVE-2014-2668 आईडी के तहत ट्रैक किया जाता है। इसके अलावा, एक शोषण उपलब्ध है.

विवरणजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Apache CouchDB 1.5.0 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन फ़ाइल /_uuids का घटक UUIDS Handler का। यह तर्क गिनती की हेरफेर इनपुट 99999999999999999999999999999999999999999999999999999999999999999999999 के साथ है, जो अधिकार वृद्धि की ओर ले जाती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-20 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 26/03/2014 द्वारा KrustyHack के रूप में शोषण (Exploit-DB). exploit-db.com पर एडवाइजरी डाउनलोड हेतु साझा की गई है।

इस भेद्यता को CVE-2014-2668 आईडी के तहत ट्रैक किया जाता है। 28/03/2014 पर CVE आवंटित किया गया था. टेक्निकल जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। इसके अलावा, एक शोषण उपलब्ध है. इस एक्सप्लॉइट की जानकारी सार्वजनिक कर दी गई है और इसका इस्तेमाल किया जा सकता है। अब के लिए एक्सप्लॉइट की कीमत अनुमानतः USD $0-$5k हो सकती है।

इसे अवधारणा प्रमाण घोषित किया गया है। यह एक्सप्लॉइट डाउनलोड के लिए exploit-db.com पर साझा किया गया है। 0-day के समय अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था। एक्सप्लॉइट में प्रयुक्त कोड निम्नलिखित है:

curl http://couchdb_target/_uuids?count=99999999999999999999999999999999999999999999999999999999999999999999999
Nessus द्वारा 74071 आईडी वाला एक प्लगइन दिया गया है। इसे Mandriva Local Security Checks फैमिली के अंतर्गत रखा गया है। यह पोर्ट 0 पर निर्भर है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 166950 प्लगइन से कर सकता है (OpenSuSE Security Update for couchdb (openSUSE-SU-2014:0526-1)).

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 66474), X-Force (92161), Secunia (SA57572), SecurityTracker (ID 1029967) , Vulnerability Center (SBV-44311).

उत्पादजानकारी

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 5.0

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 5.0
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: अधिकार वृद्धि
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
लेखक: Krusty Hack (KrustyHack)
प्रोग्रामिंग भाषा: 🔍
डाउनलोड: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 74071
Nessus नाम: Mandriva Linux Security Advisory : couchdb (MDVSA-2014:093)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

Exploit-DB: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: कोई शमन ज्ञात नहीं
स्थिति: 🔍

0-दिवसीय समय: 🔍
शोषण विलंब समय: 🔍

समयरेखाजानकारी

26/03/2014 🔍
26/03/2014 +0 दिन 🔍
26/03/2014 +0 दिन 🔍
26/03/2014 +0 दिन 🔍
26/03/2014 +0 दिन 🔍
27/03/2014 +1 दिन 🔍
27/03/2014 +0 दिन 🔍
28/03/2014 +1 दिन 🔍
28/03/2014 +0 दिन 🔍
02/04/2014 +5 दिन 🔍
29/04/2014 +27 दिन 🔍
19/05/2014 +20 दिन 🔍
09/05/2026 +4373 दिन 🔍

स्रोतजानकारी

विक्रेता: apache.org

सलाह: exploit-db.com
शोधकर्ता: KrustyHack
स्थिति: पुष्टि की गई

CVE: CVE-2014-2668 (🔍)
GCVE (CVE): GCVE-0-2014-2668
GCVE (VulDB): GCVE-100-12748
X-Force: 92161 - Apache CouchDB uuids denial of service, Medium Risk
SecurityFocus: 66474 - Apache CouchDB Universally Unique IDentifier (UUID) Remote Denial of Service Vulnerability
Secunia: 57572 - Apache CouchDB UUIDs Request Denial of Service Vulnerability, Less Critical
SecurityTracker: 1029967 - Apache CouchDB 'uuids' Count Parameter Processing Flaw Lets Remote Users Deny Service
Vulnerability Center: 44311 - Apache CouchDB 1.5.0 and Earlier Remote DoS Vulnerability via Count Parameter, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
विविध: 🔍

प्रविष्टिजानकारी

बनाया गया: 02/04/2014 01:13 PM
अद्यतनित: 09/05/2026 05:40 AM
परिवर्तन: 02/04/2014 01:13 PM (82), 26/05/2017 09:22 PM (8), 16/06/2021 02:06 PM (3), 08/12/2024 05:22 AM (14), 18/12/2024 10:08 AM (6), 09/05/2026 05:40 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!