Sixapart Movable Type तक 5.2.1 RPC Interface SQL इंजेक्शन

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
7.0$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Sixapart Movable Type तक 5.2.1 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक RPC Interface का। इसमें शामिल है, जिससे SQL इंजेक्शन उत्पन्न होती है। इस संवेदनशीलता को CVE-2014-9057 के रूप में जाना जाता है। यह हमला दूर से किया जा सकता है। कोई एक्सप्लॉइट नहीं मिला है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Sixapart Movable Type तक 5.2.1 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक RPC Interface का। इसमें शामिल है, जिससे SQL इंजेक्शन उत्पन्न होती है। CWE के माध्यम से समस्या घोषित करने पर CWE-89 मिलता है। इस कमजोरी को प्रकाशित किया गया था 16/12/2014 (वेबसाइट). एडवाइजरी को movabletype.org पर डाउनलोड के लिए उपलब्ध कराया गया है।

इस संवेदनशीलता को CVE-2014-9057 के रूप में जाना जाता है। 23/11/2014 को CVE असाइन किया गया था. यह हमला दूर से किया जा सकता है। कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट नहीं मिला है. वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1505 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1505 के रूप में घोषित करता है।

यह परिभाषित नहीं के रूप में घोषित है। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $0-$5k थी. Nessus वल्नरेबिलिटी स्कैनर 81793 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Debian Local Security Checks परिवार को सौंपा गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 175320 प्लगइन से कर सकता है (Debian Security Update for movabletype-opensource (DSA 3183-1)).

इस समस्या का समाधान 5.2.2 संस्करण में अपग्रेड करने से किया जा सकता है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: X-Force (99716), Secunia (SA61227), Vulnerability Center (SBV-49569) , Tenable (81793).

उत्पादजानकारी

विक्रेता

नाम

संस्करण

लाइसेंस

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 7.3
VulDB मेटा अस्थायी स्कोर: 7.0

VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 7.0
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: SQL इंजेक्शन
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 81793
Nessus नाम: Debian DSA-3183-1 : movabletype-opensource - security update
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 703183
OpenVAS नाम: Debian Security Advisory DSA 3183-1 (movabletype-opensource - security update)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

0-दिवसीय समय: 🔍

अपग्रेड: Movable Type 5.2.2

समयरेखाजानकारी

23/11/2014 🔍
09/12/2014 +16 दिन 🔍
10/12/2014 +1 दिन 🔍
16/12/2014 +6 दिन 🔍
16/12/2014 +0 दिन 🔍
27/03/2015 +101 दिन 🔍
14/04/2015 +18 दिन 🔍
07/04/2022 +2550 दिन 🔍

स्रोतजानकारी

सलाह: movabletype.org
स्थिति: परिभाषित नहीं
पुष्टि: 🔍

CVE: CVE-2014-9057 (🔍)
GCVE (CVE): GCVE-0-2014-9057
GCVE (VulDB): GCVE-100-73257

OVAL: 🔍

X-Force: 99716
Secunia: 61227 - Movable Type XML-RPC Interface SQL Injection Vulnerability, Less Critical
Vulnerability Center: 49569 - Movable Type Remote SQL Injection in the XML-RPC Interface, High

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 27/03/2015 02:56 PM
अद्यतनित: 07/04/2022 10:38 PM
परिवर्तन: 27/03/2015 02:56 PM (63), 25/06/2017 08:54 PM (9), 07/04/2022 10:38 PM (3)
पूर्ण: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to know what is going to be exploited?

We predict KEV entries!