Apache HTTP Server तक 2.2.3 पर Windows mod_alias सूचना का प्रकटीकरण

| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache HTTP Server तक 2.2.3 पर Windows में खोजी गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक mod_alias का। यह है, जो सूचना का प्रकटीकरण की ओर ले जाती है। इस संवेदनशीलता को CVE-2006-4110 के रूप में जाना जाता है। हमला दूरस्थ रूप से शुरू किया जा सकता है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. यह अनुशंसा की जाती है कि प्रभावित घटक को निष्क्रिय कर दिया जाए।
विवरण
एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache HTTP Server तक 2.2.3 पर Windows में खोजी गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक mod_alias का। यह है, जो सूचना का प्रकटीकरण की ओर ले जाती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-200 की ओर ले जाता है। 08/08/2006 को यह बग खोजा गया था. यह कमजोरी प्रकाशित हुई थी 11/08/2006 द्वारा Susam Pal के साथ Infosys Technologies Ltd. के रूप में Posting (Bugtraq). securityfocus.com पर एडवाइजरी डाउनलोड हेतु साझा की गई है।
इस संवेदनशीलता को CVE-2006-4110 के रूप में जाना जाता है। 14/08/2006 को CVE असाइन किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. यह भेद्यता सामान्य से अधिक लोकप्रिय है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. इस एक्सप्लॉइट की जानकारी सार्वजनिक कर दी गई है और इसका इस्तेमाल किया जा सकता है। वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1592 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1592 के रूप में घोषित करता है।
इसे अवधारणा प्रमाण घोषित किया गया है। यह एक्सप्लॉइट डाउनलोड के लिए downloads.securityfocus.com पर साझा किया गया है। इस भेद्यता को कम से कम 3 दिनों के लिए गैर-प्रकाशित ज़ीरो-डे एक्सप्लॉइट के रूप में माना गया था। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $5k-$25k थी. Nessus द्वारा 22203 आईडी वाला एक प्लगइन दिया गया है। इसे CGI abuses फैमिली के अंतर्गत रखा गया है। प्लगइन r प्रकार के संदर्भ में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 87269 प्लगइन से कर सकता है (Apache CGI Script Source Code Information Disclosure Vulnerability).
बगफिक्स डाउनलोड के लिए httpd.apache.org पर उपलब्ध है। यह अनुशंसा की जाती है कि प्रभावित घटक को निष्क्रिय कर दिया जाए।
कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 19447), X-Force (28357), Secunia (SA21490), Vulnerability Center (SBV-12512) , Tenable (22203).
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
समर्थन
- end of life (old version)
वेबसाइट
- विक्रेता: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.3VulDB मेटा अस्थायी स्कोर: 4.8
VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.8
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: सूचना का प्रकटीकरणCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
डाउनलोड: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 22203
Nessus नाम: Apache on Windows mod_alias URL Validation Canonicalization CGI Source Disclosure
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
Exploit-DB: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अक्षम करेंस्थिति: 🔍
0-दिवसीय समय: 🔍
पैच: httpd.apache.org
समयरेखा
08/08/2006 🔍09/08/2006 🔍
09/08/2006 🔍
09/08/2006 🔍
11/08/2006 🔍
11/08/2006 🔍
11/08/2006 🔍
13/08/2006 🔍
14/08/2006 🔍
14/08/2006 🔍
14/08/2006 🔍
18/06/2025 🔍
स्रोत
विक्रेता: apache.orgसलाह: securityfocus.com⛔
शोधकर्ता: Susam Pal
संगठन: Infosys Technologies Ltd.
स्थिति: पुष्टि की गई
CVE: CVE-2006-4110 (🔍)
GCVE (CVE): GCVE-0-2006-4110
GCVE (VulDB): GCVE-100-2452
X-Force: 28357 - Apache HTTP Server mod_alias script source information disclosure, Low Risk
SecurityFocus: 19447 - Apache CGI Script Source Code Information Disclosure Vulnerability
Secunia: 21490 - Apache "mod_alias" URL Validation Canonicalization Vulnerability, Less Critical
OSVDB: 27913 - Apache HTTP Server on Windows mod_alias URL Validation Canonicalization CGI Source Disclosure
Vulnerability Center: 12512 - Apache mod_alias CGI Source Code Revelation via Case-Sensitive Alias Directive Arguments, Medium
Vupen: ADV-2006-3265
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रविष्टि
बनाया गया: 14/08/2006 12:34 PMअद्यतनित: 18/06/2025 06:03 PM
परिवर्तन: 14/08/2006 12:34 PM (82), 16/04/2019 03:10 PM (11), 13/03/2021 12:02 PM (2), 12/05/2025 08:33 AM (19), 18/06/2025 06:03 PM (3)
पूर्ण: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें