phpMyAdmin तक 2.11.4 $_REQUEST क्रॉस साइट रिक्वेस्ट फॉर्जरी

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
7.0$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, phpMyAdmin में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन। इसमें तर्क $_REQUEST की हेरफेर शामिल है, जिससे क्रॉस साइट रिक्वेस्ट फॉर्जरी उत्पन्न होती है। यह सुरक्षा कमजोरी CVE-2008-1149 के रूप में संदर्भित है। यह हमला दूर से किया जा सकता है। इसके अलावा, एक शोषण उपलब्ध है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, phpMyAdmin में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन। इसमें तर्क $_REQUEST की हेरफेर शामिल है, जिससे क्रॉस साइट रिक्वेस्ट फॉर्जरी उत्पन्न होती है। CWE के माध्यम से समस्या घोषित करने पर CWE-352 मिलता है। इस बग की खोज 01/03/2008 को हुई थी. इस कमजोरी को प्रकाशित किया गया था 03/03/2008 द्वारा Richard Cunningham (वेबसाइट). एडवाइजरी को phpmyadmin.net पर डाउनलोड के लिए उपलब्ध कराया गया है।

यह सुरक्षा कमजोरी CVE-2008-1149 के रूप में संदर्भित है। 04/03/2008 पर CVE आवंटित किया गया था. यह हमला दूर से किया जा सकता है। टेक्निकल जानकारी उपलब्ध है. इस कमजोरी की लोकप्रियता सामान्य से ऊपर है। इसके अलावा, एक शोषण उपलब्ध है. इस समय एक्सप्लॉइट का मौजूदा मूल्य अज्ञात है।

यह उच्च कार्यात्मक के रूप में घोषित है। कम से कम 2 दिनों तक इस भेद्यता को सार्वजनिक न किए गए ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-day के रूप में अनुमानित भूमिगत कीमत लगभग $25k-$100k थी। Nessus वल्नरेबिलिटी स्कैनर 31377 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह FreeBSD Local Security Checks परिवार को सौंपा गया है। यह प्लगइन l टाइप के कॉन्टेक्स्ट में चल रहा है। यह 0 पोर्ट पर आधारित है.

बगफिक्स डाउनलोड हेतु phpmyadmin.net पर उपलब्ध है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए। कमजोरी के प्रकटीकरण के 2 महीने बाद एक संभावित शमन उपाय प्रकाशित किया गया है।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 28068), X-Force (40968), Secunia (SA33822), Vulnerability Center (SBV-17838) , Tenable (31377).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 7.3
VulDB मेटा अस्थायी स्कोर: 7.0

VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 7.0
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: क्रॉस साइट रिक्वेस्ट फॉर्जरी
CWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: उच्च कार्यात्मक

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 31377
Nessus नाम: FreeBSD : phpmyadmin -- SQL injection vulnerability (ce2f2ade-e7df-11dc-a701-000bcdc1757a)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 60860
OpenVAS नाम: Debian Security Advisory DSA 1557-1 (phpmyadmin)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

पैच: phpmyadmin.net

समयरेखाजानकारी

01/03/2008 🔍
01/03/2008 +0 दिन 🔍
01/03/2008 +0 दिन 🔍
03/03/2008 +2 दिन 🔍
03/03/2008 +0 दिन 🔍
04/03/2008 +0 दिन 🔍
04/03/2008 +0 दिन 🔍
07/03/2008 +3 दिन 🔍
11/03/2008 +4 दिन 🔍
18/03/2008 +7 दिन 🔍
24/04/2008 +37 दिन 🔍
04/02/2009 +286 दिन 🔍
06/08/2019 +3835 दिन 🔍

स्रोतजानकारी

उत्पाद: phpmyadmin.net

सलाह: phpmyadmin.net
शोधकर्ता: Richard Cunningham
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2008-1149 (🔍)
GCVE (CVE): GCVE-0-2008-1149
GCVE (VulDB): GCVE-100-3633

OVAL: 🔍

X-Force: 40968 - phpMyAdmin $_REQUEST variable SQL injection, Medium Risk
SecurityFocus: 28068 - phpMyAdmin '$_REQUEST' SQL Injection Vulnerability
Secunia: 33822 - SUSE update for moodle and phpMyAdmin, Moderately Critical
OSVDB: 43051 - phpMyAdmin Crafted Cookie $_REQUEST Superglobal Overwrite
Vulnerability Center: 17838 - PhpMyAdmin $_REQUEST Vulnerability Allows Remote Attacker to Inject Arbitrary SQL Commands, Medium
Vupen: ADV-2008-0758

scip Labs: https://www.scip.ch/en/?labs.20161013

प्रविष्टिजानकारी

बनाया गया: 18/03/2008 10:56 AM
अद्यतनित: 06/08/2019 09:13 PM
परिवर्तन: 18/03/2008 10:56 AM (97), 06/08/2019 09:13 PM (1)
पूर्ण: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!