WinSCP 5.5/5.5.1/5.5.2 X.509 Certificate CN अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
4.6$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, WinSCP 5.5/5.5.1/5.5.2 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन घटक X.509 Certificate Handler की। यह हेरफेर CN तर्क अधिकार वृद्धि उत्पन्न करता है। यह भेद्यता CVE-2014-2735 के रूप में व्यापार की जाती है। कोई शोषण मौजूद नहीं है. प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, WinSCP 5.5/5.5.1/5.5.2 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन घटक X.509 Certificate Handler की। यह हेरफेर CN तर्क अधिकार वृद्धि उत्पन्न करता है। CWE के माध्यम से समस्या घोषित करने पर CWE-20 मिलता है। इस कमजोरी को प्रकाशित किया गया था 16/04/2014 द्वारा Micha Borrmann के साथ SYSS के रूप में Posting (Bugtraq). यह सलाह securityfocus.com पर डाउनलोड के लिए साझा की गई है।

यह भेद्यता CVE-2014-2735 के रूप में व्यापार की जाती है। CVE आवंटन 08/04/2014 को हुआ था. तकनीकी जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता औसत से कम है। कोई शोषण मौजूद नहीं है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है।

0-day के तौर पर अनुमानित भूमिगत दाम लगभग $0-$5k था। Nessus वल्नरेबिलिटी स्कैनर 73613 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Windows परिवार को सौंपा गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 122577 प्लगइन से कर सकता है (WinSCP OpenSSL Multiple Vulnerabilities).

5.5.3 संस्करण में अपग्रेड करने से इस समस्या का समाधान हो सकता है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 66936), X-Force (93829), Vulnerability Center (SBV-44224) , Tenable (73613).

उत्पादजानकारी

प्रकार

नाम

संस्करण

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 4.6

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: अधिकार वृद्धि
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 73613
Nessus नाम: WinSCP Heartbeat Information Disclosure (Heartbleed)
Nessus Arquivo: 🔍
Nessus परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

0-दिवसीय समय: 🔍

अपग्रेड: WinSCP 5.5.3

समयरेखाजानकारी

08/04/2014 🔍
10/04/2014 +2 दिन 🔍
10/04/2014 +0 दिन 🔍
16/04/2014 +6 दिन 🔍
22/04/2014 +6 दिन 🔍
24/04/2014 +2 दिन 🔍
12/03/2015 +322 दिन 🔍
11/05/2026 +4078 दिन 🔍

स्रोतजानकारी

सलाह: securityfocus.com
शोधकर्ता: Micha Borrmann
संगठन: SYSS
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2014-2735 (🔍)
GCVE (CVE): GCVE-0-2014-2735
GCVE (VulDB): GCVE-100-34061
X-Force: 93829 - WinSCP X.509 spoofing, Medium Risk
SecurityFocus: 66936 - WinSCP X.509 Certificate Validation Security Bypass Vulnerability
Vulnerability Center: 44224 - WinSCP before 5.5.3 Remote Man-in-the-Middle and SSL Spoofing when FTP with TLS is Used, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 12/03/2015 10:21 PM
अद्यतनित: 11/05/2026 12:16 PM
परिवर्तन: 12/03/2015 10:21 PM (69), 26/05/2017 03:42 AM (5), 11/05/2026 12:16 PM (18)
पूर्ण: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!