PHP 5.3.0/5.3.1/5.3.2/5.3.3 Wrapper stream.c phar_stream_flush Format String

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
7.3$5k-$25k0.00

सारांशजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, PHP 5.3.0/5.3.1/5.3.2/5.3.3 में खोजी गई है। प्रभावित होता है फ़ंक्शन phar_stream_flush फ़ाइल stream.c का घटक Wrapper का। यह परिवर्तन Format String का कारण बनता है। यह सुरक्षा कमजोरी CVE-2010-2950 के रूप में संदर्भित है। कोई एक्सप्लॉइट नहीं मिला है.

विवरणजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, PHP 5.3.0/5.3.1/5.3.2/5.3.3 में खोजी गई है। प्रभावित होता है फ़ंक्शन phar_stream_flush फ़ाइल stream.c का घटक Wrapper का। यह परिवर्तन Format String का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-134 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 28/09/2010 द्वारा Stefan Esser के रूप में Bug 598537 के रूप में Bug Report (Bugzilla). bugzilla.redhat.com पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।

यह सुरक्षा कमजोरी CVE-2010-2950 के रूप में संदर्भित है। टेक्निकल डिटेल्स उपलब्ध हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट नहीं मिला है. इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $5k-$25k माना जा रहा है।

इसे परिभाषित नहीं घोषित किया गया है। 0-day के रूप में अनुमानित भूमिगत कीमत लगभग $5k-$25k थी। Nessus द्वारा 68571 आईडी वाला एक प्लगइन दिया गया है। इसे Oracle Linux Local Security Checks फैमिली के अंतर्गत रखा गया है। यह 0 पोर्ट पर आधारित है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 120480 प्लगइन से कर सकता है (CentOS Security Update for PHP (CESA-2012:1046)).

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 40173), Vulnerability Center (SBV-27339) , Tenable (68571).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 7.3
VulDB मेटा अस्थायी स्कोर: 7.3

VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 7.3
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: Format String
CWE: CWE-134 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 68571
Nessus नाम: Oracle Linux 5 : php53 (ELSA-2012-1047)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 68689
OpenVAS नाम: FreeBSD Ports: php5
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: कोई शमन ज्ञात नहीं
स्थिति: 🔍

0-दिवसीय समय: 🔍

समयरेखाजानकारी

14/05/2010 🔍
04/08/2010 +81 दिन 🔍
28/09/2010 +55 दिन 🔍
28/09/2010 +0 दिन 🔍
28/09/2010 +0 दिन 🔍
03/10/2010 +5 दिन 🔍
12/07/2013 +1013 दिन 🔍
19/03/2015 +615 दिन 🔍
25/09/2021 +2382 दिन 🔍

स्रोतजानकारी

उत्पाद: php.org

सलाह: Bug 598537
शोधकर्ता: Stefan Esser
स्थिति: परिभाषित नहीं
पुष्टि: 🔍

CVE: CVE-2010-2950 (🔍)
GCVE (CVE): GCVE-0-2010-2950
GCVE (VulDB): GCVE-100-54852

OVAL: 🔍

SecurityFocus: 40173 - PHP 'ext/phar/stream.c' and 'ext/phar/dirstream.c' Multiple Format String Vulnerabilities
Vulnerability Center: 27339 - PHP 5.3-5.3.3 Remote Information Disclosure or Arbitrary Code Execution Vulnerability, High

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 19/03/2015 02:37 PM
अद्यतनित: 25/09/2021 04:21 PM
परिवर्तन: 19/03/2015 02:37 PM (64), 06/03/2017 11:10 AM (10), 25/09/2021 04:13 PM (4), 25/09/2021 04:21 PM (1)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Interested in the pricing of exploits?

See the underground prices here!