| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
सारांश
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Drupal तक 6.32/7.30 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन XRDS Document Handler घटक का हिस्सा है। यह संशोधन DOCTYPE आर्ग्युमेंट अधिकार वृद्धि का कारण बन सकता है। इस संवेदनशीलता को CVE-2014-5267 के रूप में जाना जाता है। कोई एक्सप्लॉइट उपलब्ध नहीं है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
विवरण
एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Drupal तक 6.32/7.30 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन XRDS Document Handler घटक का हिस्सा है। यह संशोधन DOCTYPE आर्ग्युमेंट अधिकार वृद्धि का कारण बन सकता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-264 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 06/08/2014 द्वारा Willis Vandevanter and Nir Goldshlager के रूप में SA-CORE-2014-004 के रूप में सलाह (वेबसाइट). सलाह drupal.org पर डाउनलोड हेतु साझा की गई है। प्रकटीकरण में यह जानकारी है:
In addition, a similar vulnerability exists in the core OpenID module (for sites that have this module enabled).
इस संवेदनशीलता को CVE-2014-5267 के रूप में जाना जाता है। CVE असाइनमेंट 15/08/2014 को हुआ। तकनीकी विवरण उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट उपलब्ध नहीं है। वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1068 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1068 के रूप में घोषित करता है। एडवाइजरी के अनुसार:
Drupal 6 and Drupal 7 include an XML-RPC endpoint which is publicly available (xmlrpc.php). The PHP XML parser used by this XML-RPC endpoint is vulnerable to an XML entity expansion attack and other related XML payload attacks which can cause CPU and memory exhaustion and the site's database to reach the maximum number of open connections. Any of these may lead to the site becoming unavailable or unresponsive (denial of service).
0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $0-$5k थी. एडवाइजरी इंगित करती है:
All Drupal sites are vulnerable to this attack whether XML-RPC is used or not.वल्नरेबिलिटी स्कैनर Nessus ID 77100 वाला एक प्लगइन प्रदान करता है (Debian DSA-2999-1 : drupal7 - security update), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे Debian Local Security Checks परिवार में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 122561 प्लगइन से कर सकता है (Fedora Security Update for drupal7 (FEDORA-2014-9278)).
6.33 , 7.31 संस्करण में अपग्रेड करना इस समस्या को दूर कर सकता है। आप cgit.drupalcode.org से बगफिक्स डाउनलोड कर सकते हैं। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 69146), X-Force (99846), Vulnerability Center (SBV-45932) , Tenable (77100).
उत्पाद
प्रकार
नाम
संस्करण
- 6.0
- 6.1
- 6.2
- 6.3
- 6.4
- 6.5
- 6.6
- 6.7
- 6.8
- 6.9
- 6.10
- 6.11
- 6.12
- 6.13
- 6.14
- 6.15
- 6.16
- 6.17
- 6.18
- 6.19
- 6.20
- 6.21
- 6.22
- 6.23
- 6.24
- 6.25
- 6.26
- 6.27
- 6.28
- 6.29
- 6.30
- 6.31
- 6.32
- 7.0
- 7.1
- 7.2
- 7.3
- 7.4
- 7.5
- 7.6
- 7.7
- 7.8
- 7.9
- 7.10
- 7.11
- 7.12
- 7.13
- 7.14
- 7.15
- 7.16
- 7.17
- 7.18
- 7.19
- 7.20
- 7.21
- 7.22
- 7.23
- 7.24
- 7.25
- 7.26
- 7.27
- 7.28
- 7.29
- 7.30
लाइसेंस
वेबसाइट
- उत्पाद: https://www.drupal.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.3VulDB मेटा अस्थायी स्कोर: 4.6
VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: अधिकार वृद्धिCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 77100
Nessus नाम: Debian DSA-2999-1 : drupal7 - security update
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
OpenVAS ID: 867773
OpenVAS नाम: Fedora Update for drupal6 FEDORA-2014-9281
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
0-दिवसीय समय: 🔍
अपग्रेड: Drupal 6.33/7.31
पैच: cgit.drupalcode.org
McAfee IPS: 🔍
McAfee IPS संस्करण: 🔍
समयरेखा
06/08/2014 🔍06/08/2014 🔍
06/08/2014 🔍
15/08/2014 🔍
25/08/2014 🔍
30/09/2014 🔍
13/01/2015 🔍
02/03/2022 🔍
स्रोत
उत्पाद: drupal.orgसलाह: SA-CORE-2014-004
शोधकर्ता: Willis Vandevanter, Nir Goldshlager
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2014-5267 (🔍)
GCVE (CVE): GCVE-0-2014-5267
GCVE (VulDB): GCVE-100-68539
X-Force: 99846 - Drupal core XML-RPC denial of service, Medium Risk
SecurityFocus: 69146 - Drupal XML-RPC Endpoint Multiple Denial of Service Vulnerabilities
Vulnerability Center: 45932 - Drupal <6.33, <7.31 and Wordpress <3.9.2 Remote DoS Vulnerability via Crafted XRDS Document, Medium
विविध: 🔍
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 13/01/2015 01:56 PMअद्यतनित: 02/03/2022 02:36 AM
परिवर्तन: 13/01/2015 01:56 PM (77), 05/06/2017 10:07 AM (8), 02/03/2022 02:36 AM (3)
पूर्ण: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें