Apache HTTP Server 2.4.1/2.4.2 mod_wsgi Content-Type Header सूचना का प्रकटीकरण

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.1$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Apache HTTP Server 2.4.1/2.4.2 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन mod_wsgi घटक का हिस्सा है। इसमें Content-Type Header के हिस्से के रूप में शामिल है, जिससे सूचना का प्रकटीकरण उत्पन्न होती है। यह भेद्यता CVE-2014-0242 के रूप में व्यापार की जाती है। इसके अलावा, एक एक्सप्लॉइट उपलब्ध है.

विवरणजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Apache HTTP Server 2.4.1/2.4.2 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन mod_wsgi घटक का हिस्सा है। इसमें Content-Type Header के हिस्से के रूप में शामिल है, जिससे सूचना का प्रकटीकरण उत्पन्न होती है। CWE का उपयोग करके समस्या को घोषित करने से CWE-200 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 21/05/2014 द्वारा Buck Golemon के रूप में Mailinglist Post (oss-sec). एडवाइजरी को seclists.org पर डाउनलोड के लिए उपलब्ध कराया गया है।

यह भेद्यता CVE-2014-0242 के रूप में व्यापार की जाती है। CVE असाइनमेंट 03/12/2013 को हुआ। कोई तकनीकी विवरण उपलब्ध नहीं है। यह भेद्यता सामान्य से कम लोकप्रिय है। इसके अलावा, एक एक्सप्लॉइट उपलब्ध है. यह एक्सप्लॉइट सार्वजनिक रूप से उजागर हो चुका है और इसका दुरुपयोग संभव है। वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना इस हमले की तकनीक को T1592 घोषित करती है.

इसे अवधारणा प्रमाण के रूप में घोषित किया गया है। यह एक्सप्लॉइट seclists.org पर डाउनलोड के लिए साझा किया गया है। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $5k-$25k था। वल्नरेबिलिटी स्कैनर Nessus ID 76496 वाला एक प्लगइन प्रदान करता है (Apache mod_wsgi < 3.4 Remote Information Disclosure), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे CGI abuses परिवार में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 350768 प्लगइन से कर सकता है (Amazon Linux Security Advisory for mod_wsgi: AL2012-2015-063).

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 67534), X-Force (93262), Secunia (SA58814), Vulnerability Center (SBV-45340) , Tenable (76496).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.4
VulDB मेटा अस्थायी स्कोर: 6.1

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.8
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 7.5
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: सूचना का प्रकटीकरण
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
डाउनलोड: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 76496
Nessus नाम: Apache mod_wsgi < 3.4 Remote Information Disclosure
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 702937
OpenVAS नाम: Debian Security Advisory DSA 2937-1 (mod-wsgi - security update)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

Exploit-DB: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: कोई शमन ज्ञात नहीं
स्थिति: 🔍

0-दिवसीय समय: 🔍
शोषण विलंब समय: 🔍

समयरेखाजानकारी

03/12/2013 🔍
21/05/2014 +169 दिन 🔍
21/05/2014 +0 दिन 🔍
21/05/2014 +0 दिन 🔍
21/05/2014 +0 दिन 🔍
22/05/2014 +1 दिन 🔍
26/05/2014 +4 दिन 🔍
10/07/2014 +45 दिन 🔍
14/07/2014 +4 दिन 🔍
30/11/2024 +3792 दिन 🔍

स्रोतजानकारी

विक्रेता: apache.org

सलाह: seclists.org
शोधकर्ता: Buck Golemon
स्थिति: पुष्टि की गई

CVE: CVE-2014-0242 (🔍)
GCVE (CVE): GCVE-0-2014-0242
GCVE (VulDB): GCVE-100-13299

OVAL: 🔍

X-Force: 93262 - Apache HTTP Server mod_wsgi module information disclosure, Medium Risk
SecurityFocus: 67534 - Apache 'mod_wsgi' Module CVE-2014-0242 Information Disclosure Vulnerability
Secunia: 58814 - mod_wsgi "setuid()" Security Bypass Vulnerability, Less Critical
Vulnerability Center: 45340 - mod_wsgi Module for Apache Remote Information Disclosure via Content-Type, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 22/05/2014 04:56 PM
अद्यतनित: 30/11/2024 08:27 AM
परिवर्तन: 22/05/2014 04:56 PM (46), 01/06/2017 08:21 AM (31), 20/06/2021 09:33 AM (2), 20/06/2021 09:36 AM (18), 20/06/2021 09:41 AM (1), 30/11/2024 08:27 AM (16)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!